Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Можливість несанкціонованого одержання інформації під дією дестабілізуючих факторів, незважаючи на застосування засобів ЗІ Рij. 2 page





визначення початкового вмісту аутентифікаторів;

регламентацією адміністративних процедур початкового поширення аутентифікаторів, заміщення загублених, скомпрометованих або ушкоджених аутентифікаторів, а також відкликання аутентифікаторів;

зміни яких мається на увазі аутентифікаторів після установки інформаційної системи.

Перш ніж надати доступ до системи ІС інформує потенційних користувачів:

про організаційну приналежність системи;

про можливий моніторинг, протоколювання й аудита використання системи;

про заборону й можливе покарання за несанкціоноване використання системи;

про згоду користувача на моніторинг і протоколювання у випадку використання системи; попереджуюче повідомлення містить відповідні положення політики безпеки й залишається на екрані, поки користувач не почне явних дій для входу в ІС.

 

Запитання для самоконтролю

 

1. Які переваги матиме організація за умови проведення детального аналізу ризику?

2. Якою може бути шкала оцінювання збитків при оцінюванні ризиків інформаційної безпеки? Наведіть приклад якісної шкали оцінювання.

3. Назвіть основні регулятори інформаційної безпеки, їх сутність та призначення.

4. Опишіть способи вибору засобів безпеки інформаційної системи.

5. Назвіть основні критерії вибору специфічних засобів системи інформаційної безпеки інформаційної системи.

6. Обґрунтуйте базові вимоги до безпеки інформації в інформаційних системах.

7. Сформулюйте мінімальні вимоги з безпеки.

8. Визначте основні регулятори безпеки за рівнями інформаційної безпеки.

9. Опишіть процес ний підхід при забезпеченні інформаційної безпеки.

10. Обґрунтуйте сутність адміністративних регуляторів безпеки.

11. Обґрунтуйте процедурні регулятори безпеки.

12. Обґрунтуйте сутність програмно-технічних регуляторів безпеки.


РОЗДІЛ 7

УПРАВЛІННЯ БЕЗПЕКОЮ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

У сучасних стандартах з організації менеджменту інформаційної безпеки наголошується, що з метою протидії загрозам ІБ, зниження ризиків ІБ та ефективної обробки інцидентів ІБ необхідно забезпечувати й протягом тривалого часу підтримувати достатній для організації рівень безпеки. При цьому головне призначення діяльності з організації управління безпекою ІТ полягатиме у створенні таких умов, за яких мінімізуватимуться ризики ІБ, що, як наслідок, сприятиме стабільному розвитку бізнесу.

 

7.1. Процес управління безпекою інформаційних технологій

 

Управління безпекою інформаційних технологій (БІТ) в організації – це цілеспрямований процес, який здійснюється з метою досягнення і забезпечення необхідних рівнів конфіденційності, цілісності, доступності, достовірності і надійності інформації, яка в ній циркулює (рис. 7.1).

 

 

Сутність процесу управління БІТ зводиться до аналізу вимог захисту, створенні плану з дотримання цих вимог, виконанні цього плану, а також підтриманні й управлінні здійсненим захистом (див. рис. рис. 7.1). Починається процес з визначання організацією цілей і стратегій захисту в інформаційних технологіях й має своє логічне продовження у методиках захисту інформаційних технологій.

Відправною точкою початку такої діяльності в організації є встановлення чітких цілей безпеки, які повинні задовольнити її потреби. Щоб визначити такі цілі, необхідно розглянути активи організації та їхню цінність. Для цього бажано знайти відповіді на такі питання:

наскільки важливою є та частина бізнесової діяльності організації, яка не може виконуватися без підтримки інформаційних технологій;

які задачі організації можуть бути виконані її співробітниками лише з використанням інформаційних технологій;

які важливі рішення залежать від точності, цілісності, доступності чи актуальності інформації, оброблюваної за допомогою інформаційної технології;

яка оброблювана конфіденційна інформація потребує захисту;

які можуть бути приховані передумови небажаних інцидентів безпеки для організації при впровадженні інформаційних технологій тощо.

Кінцевою метою створення системи безпеки інформаційних технологій є попередження або мінімізація збитку (прямого або опосередкованого, матеріального морального або іншого), що завдається суб’єктам інформаційних відносин завдяки небажаного впливу на інформацію, її носіїв та процеси обробки.

Практичний досвід з управління БІТ показує, що даний процес є довготривалим. Головний зміст даного процесу становить управління: управління людьми, ризиками, ресурсами, засобами захисту тощо. Він складається з багатьох взаємопов’язаних підпроцесів. Деякі з них, такі як управління конфігурацією настроювання, управління змінами та ризиками застосовувані не тільки до питань безпеки. Так, наприклад, підпроцес настроювання системи полягає у фіксації тенденції можливих змін. Метою управління настроюванням, з погляду безпеки, є розпізнання змін та дослідження ступеня їх можливого впливу на загальну безпеку організації, а також гарантування того, що зміни в системі не знизять ефективність засобів захисту і загальну безпеку організації.


Управління змінами – процес визначання потреб в нових засобах безпеки у випадках, коли відбуваються зміни в системі ІТ. Такі зміни можуть спровокувати нові процедури та нові можливості ІТ, модернізоване програмне та перероблене апаратне забезпечення. Вони можуть виникнути при появі нових користувачів у зовнішніх або анонімних групах, а також при роботі користувачів з мережами і зв’язками. Якщо такі факти фіксуються або стає відомо про можливе внесення змін в систему інформаційних технологій важливо визначити ступень ураження в захисті системи, якщо зміни мали місце або спланувати комплекс заходів щодо попередження таких змін. При цьому має бути оцінена величина ризику, виходячи з користі і витрат.

Управління ризиком – процес визначання, регулювання і виокремлення чи мінімізації сумнівних подій, що можуть впливати на ресурси системи ІТ. Він передбачає порівняння оцінки ризиків з вигодами і (або) витратами на засоби безпеки і забезпечення стратегії їхнього застосування. Дії з управління ризиками найбільш ефективні, якщо вони виконуються в процесі всього життєвого циклу системи. Процедура аналізу ризику ідентифікує ризики, що вимагають управління ними або врахування (прийняття до уваги) в подальшій роботі ІС. Вона може бути реалізована без додаткових витрат часу і ресурсів після оглядового і короткого аналізу всіх підсистем ІС. При цьому власне самі ризики з погляду безпеки оцінюють відносно потенційного ураження, що може бути викликано порушенням конфіденційності, цілісності, доступності, облікованості, достовірності чи надійності інформації. Результатом оглядового аналізу ризику є положення про найбільш ймовірні ризики стосовно активів. Його наявність дозволить установити, які підсистеми можуть бути захищені за допомогою практичних вказівок або базовими засобами управління, а також ті, які можна використати після детальнішого аналізування ризику. Це питання практично охоплює комплект інструкцій і базових настанов, які можуть бути використані як базис для домовленості щодо задоволення основних потреб захисту.

Забезпечення ефективної безпеки інформаційних технологій вимагає обліковості (звітності) точно визначених завдань і розподілу обов’язків у питаннях безпеки. Обов’язки і обліковість мають бути доручені власникам активів, постачальникам і користувачам ресурсів систем інформаційних технологій. Отже, володіння активами і пов’язані з ними обов’язки щодо безпеки з подальшим перевірянням реалізованої безпеки є важливими чинниками для ефективної безпеки. Відсутність компетентності і недостатність досвіду персоналу також може призвести до значного зниження ефективності загальної системи безпеки організації. Щоб бути упевненим у належному рівні компетентності в безпеці організації, необхідно дотримуватись і розвивати програму компетентності безпеки, метою якої є пояснення робітникам, компаньйонам і компаніям-постачальникам цілей, стратегій і методик безпеки, а також потреб у безпеці і зв’язаних з ними функцій і обов’язків. Її реалізація передбачається у декілька етапів, одним із яких є розроблення і розподіл документації щодо компетентності в безпеці (наприклад плакатів, бюлетенів, брошур чи брифінгів). Призначення цих матеріалів – збільшити загальну компетенцію службовців і контрактників. Наступний етап – організація курсів для навчання службовців з питань безпеки. Також необхідні поглиблені курси професійного рівня для специфічних аспектів безпеки. У деяких випадках ефективним є об’єднання всіх повідомлень з безпеки в окремі навчальні програми. Цей підхід може бути альтернативою або повноцінною заміною до програми компетентності безпеки. Для розвитку програми компетентності безпеки, що взаємозалежна з необхідними мікрополітичними й адміністративними умовами організації, увага має бути зосереджена на таких аспектах: аналізу потреб; забезпеченні контролю та змісті програми компетентності. Крім того, має бути розроблена програма забезпечення ІБ, що гарантуватиме розподіл обов’язків із безпеки між співробітниками, компаньйонами і компаніями-постачальниками.


 

7.1.1 Стратегія та методи забезпечення інформаційної безпеки

 

Після затвердження цілей безпеки ІТ організації необхідно розробити стратегію їх захисту, яка стане основою для розробки відповідних методів захисту. Обрана стратегія має відповідати важливості активів, які підлягають захисту. Якщо, наприклад, відповідь на одне або кілька питань, що були наведені вище буде стверджувальною, то найімовірніше організація має важливі потреби в захисті і необхідно порекомендувати обрати стратегію разом з необхідними заходами для реалізації цих потреб.

Стратегія управління БІТ тезисна і в загальних рисах описує способи досягнення організацією заданого рівня безпеки. Положення, яких має стосуватися стратегія, будуть залежати як від кількості, типу і важливості цих цілей, так і тих цілей, які організація розглядає як важливі для усіх своїх підрозділів. Положення можуть бути або цілком конкретними або дуже загальними. Приклад першого: організація, яка може мати таку первинну мету безпеки інформаційних технологій, що через вид її ділової активності всі системи повинні підтримувати високий рівень доступності. У цьому випадку одне положення стратегії може бути спрямоване на зменшення зараження вірусами через впровадження антивірусного програмного забезпечення для всієї організації (чи визначенням вибіркових ділянок для перевірки на наявність вірусу, необхідної для всього отриманого програмного забезпечення). Приклад останнього, щодо загального рівня: організація може мати мету безпеки інформаційної технології, тому що її ділова активність щодо надання послуг інформаційних технологій і захист її систем, повинні бути продемонстровані потенційним замовникам. У цьому випадку положення стратегії можуть полягати в тому, що всі системи затверджують як такі, безпечність яких визначає третя особа.


Інші можливі положення стратегії безпеки інформаційних технологій, згідно з визначеними цілями чи їхніми комбінаціями, можуть включати:

стратегію аналізу ризику і методи, що будуть прийняті для всієї організації;

вимоги методів забезпечення БІТ для кожної системи;

вимоги механізмів захисту для кожної системи;

схему класифікації критичної інформації для всієї організації;

вимоги щодо захисту засобів зв’язку; це повинно бути визначено і перевірено до установлення відносин з іншими організаціями;

схему обробки інцидентів, універсальну у використанні.

Після визначення стратегії безпеки її положення мають міститися в методиці безпеки інформаційних технологій організації, яка має базуватися на вагомих твердженнях на користь захисту, особливо якщо є необхідність узгодження захисту і стратегії. Методика безпеки повинна охоплювати такі розділи:

інфраструктуру організації і розподіл обов’язків;

інтеграцію захисту в розробці і реалізації системи;

класи класифікації інформації, стратегії управління ризиком;

планування непередбачених обставин, юридичні і регуляторні зобов’язання;

зовнішнє управління розробкою й забезпечення інформаційної взаємодії;

вимоги безпеки інформаційних технологій (умови конфіденційності, цілісності, доступності, обліковості, достовірності і надійності, особливо з урахуванням уявлень власників активів);

заходи з підготовки персоналу (особлива увага повинна приділятися службовцям, що займають відповідальні посади, наприклад, технічному персоналу й адміністраторам системи) тощо.

Діяльність із забезпечення БІТ організації здійснюється за допомогою різних способів, засобів і прийомів, які у своїй органічній сукупності складають методи. Метод передбачає певну послідовність дій на підставі конкретного плану. Методи можуть значно змінюватися і варіюватися в залежності від тину діяльності, в якій вони використовуються, а також сфери застосування. Так, наприклад, важливими методами аналізу стану забезпечення БІТ організації є методи опису та класифікації, а також методи дослідження причинних зв’язків. За допомогою останніх виявляються причинні зв’язки між загрозами, ризиками, викликами та небезпеками; здійснюється пошук причин, які стали джерелом і спричинили актуалізацію тих чи інших чинників небезпеки, а також розробляються заходи по їх нейтралізації. Серед них найбільшого застосування отримали: метод схожості, метод відмінності, метод сполучення схожості і відмінності, метод змін, що супроводжують, метод залишків.

Вибір методів аналізу стану забезпечення БІТ залежить від конкретного рівня і сфери організації захисту. В залежності від загрози уможливлюється завдання щодо диференціації як різних рівнів загроз, так і різних рівнів захисту. Що стосується сфери БІТ, то у ній, зазвичай, виділяють: фізичний, програмно-технічний, управлінський та технологічний рівні, рівень користувача, мережний і процедурний рівні. На фізичному рівні здійснюється організація і фізичний захист інформаційних ресурсів, інформаційних технологій, що використовуються, і управлінських технологій. На програмно-технічному – здійснюється ідентифікації і перевірка дійсності користувачів, управління доступом, протоколювання і аудит, криптографія, екранування, забезпечення високої доступності. На рівні управління здійснюється управління, координація і контроль організаційних, технологічних і технічних заходів на всіх рівнях управління з боку єдиної системи забезпечення інформаційної безпеки органів державного управління. На технологічному рівні здійснюється реалізації політики інформаційної безпеки за рахунок застосування комплексу сучасних автоматизованих інформаційних технологій. На рівні користувача реалізація політики інформаційної безпеки спрямована на зменшення рефлексивного впливу на суб’єктів державного управління, унеможливлення інформаційного впливу з боку соціального середовища. На рівні мережі дана політика реалізується у форматі координації дій органів державного управління, які пов’язані між собою однією метою. На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні групи процедурних заходів: управління персоналом, фізичний захист, підтримання роботоздатності, реагування на порушення режиму безпеки, планування реанімаційних робіт.

Нині можна виокремити декілька типів методів забезпечення БІТ:

однорівневі методи (будуються на підставі одного принципу управління БІТ);

багаторівневі методи (будуються на основі декількох принципів управління БІТ, кожний з яких слугує для вирішення власного завдання);

комплексні методи (багаторівневі технології, які об’єднані до єдиної системи координуючими функціями на організаційному рівні з метою забезпечення безпеки інформаційних технологій виходячи з аналізу сукупності чинників небезпеки);

інтегровані високоінтелектуальні методи (багаторівневі, багатокомпонентні технології, які побудовані на підставі потужних автоматизованих інтелектуальних засобів із організаційним управлінням).

Вони активно використовуються на будь-якій стадії управління загрозами. При цьому специфіка методів, які використовуються, значно залежить від суб’єкта діяльності, об’єкта впливу, а також цілей, що переслідуються. У цілому ж слід зазначити, що обрання цілей, стратегій і методів протидії конкретним загрозам та небезпекам безпеці інформаційних технологій становить собою важливу проблему і складову частину діяльності з реалізації основних напрямів державної політики інформаційної безпеки. У межах вирішення даної проблеми визначаються можливі форми відповідної діяльності органів державної влади, що потребує проведення детального аналізу економічного, соціального, політичного та інших станів суспільства, держави і особи, можливих наслідків вибору тих чи інших варіантів здійснення цієї діяльності. Для цього цілі (які мають бути досягнуті), стратегії (як досягнути цих цілей) і методи (які визначають правила для досягнення цілей) доцільно визначати для кожного рівня організації і для кожного ділового підрозділу чи відділу. Для досягнення необхідного рівня ефективності безпеки різні цілі, стратегії і методики для кожного організаційного рівня і ділового підрозділу мають бути впорядковані та узгоджені між собою. Це досягається шляхом перевірки (контролювання) вихідних даних на наявність вагомих для безпеки подій.

 

7.1.2. Функції управління безпекою інформаційних технологій

 

До функцій управління безпекою інформаційних технологій належать:

визначення цілей, стратегій і методик організації БІТ;

визначення необхідних умов під час організації БІТ;

ідентифікація та аналіз загроз безпеки для активів ІТ організації;

ідентифікація та аналіз ризиків;

визначення відповідних засобів безпеки;

контроль за застосуванням і функціонуванням засобів безпеки;

розроблення і реалізація програми компетентності в безпеці;

виявлення і реагування на інциденти.

Для повноцінної реалізації цих функцій як на стратегічному, так й на тактичному та оперативному рівнях (рис. 7.2) БІТ повинна стати невід’ємною частиною загального плану управління організацією (ДСТУ ISO/IEC TR 13335-1:2003). Самий верхній рівень БІТ – адміністративний. На ньому приймаються суто стратегічні рішення.

Середній рівень ІБ – тактичний. Його ключовою ланкою є центр управління ІБ, головне призначення якого полягає у формуванні й контролюванні ПІБ організації (рис. 7.3).

 

 

На нижньому – тактичному рівні сформована ПІБ знаходить свою практичну реалізацію. Аналіз стану ІБ проводиться на підставі порівняння визначеної політики ІБ даним моніторингу і аудита ІБ рівня оперативного управління. Кваліфікація осіб, відповідальних за безпеку інформаційних технологій повинна бути при цьому достатньою для адаптування матеріалів до конкретних потреб організацій.

 

7.2. Елементи безпеки інформаційних технологій

 

Головними елементами, задіяними в процесі управління безпекою інформаційних технологій в організації є її активи.

До активів організації належать:

фізичні об’єкти (наприклад апаратне забезпечення, засоби зв’язку, будівлі);

інформація/дані (наприклад документи, бази даних);

програмне забезпечення;

здатність виробляти деяку продукцію чи надавати послуги;

людські ресурси;

нематеріальна власність (наприклад імідж, символіка).

Активи є об’єктами для багатьох видів загроз (табл. 7.1).

 

 

Загроза потенційно є причиною небажаного інциденту, що здатний заподіяти шкоду системі чи організації та її активам. Ця шкода є результатом прямої чи непрямої атаки, спрямованої на інформацію, якою оперує система чи служба інформаційних технологій, і являє собою, наприклад, її несанкціоноване знищення, розкриття, зміну, перекручування, втрату доступності чи втрату. Загроза може здійснитися, заподіяти шкоду у випадку наявності в активах уразливих місць. Загрози, причиною яких є людина, розділяють на випадкові й навмисні.

Деякі загрози мають спрямовану дію на окремі елементи організації, наприклад викликають збої інформаційних систем. Загрози можуть мати специфічне територіальне походження, наприклад ушкодження будівель від ураганів чи спалахів блискавки. Загроза може діяти зсередини організації, наприклад, саботаж службовців, чи зовні, наприклад, навмисний злом чи промислове шпигунство. Шкода, викликана небажаним інцидентом, може мати тимчасовий, легко відновлюваний характер чи остаточний і безповоротний, як у випадку знищення активів.

Обсяги шкоди заподіяні загрозою, можуть варіювати в широких межах для кожного конкретного випадку. Наприклад:

програмний вірус може заподіяти різні обсяги шкоди залежно від його впливання;

землетрус у зоні специфічного територіального розташування може мати різну силу в кожному конкретному випадку.

Такі загрози часто характеризуються обсягами заподіюваної ними шкоди. Наприклад, вірус можна охарактеризувати як такий, що руйнує чи не руйнує, а силу землетрусу можна відобразити за шкалою Ріхтера.

Прояви загроз можуть впливати на більш ніж один вид активів. У цьому випадку вони спричинюють різні конфлікти, що впливають на активи. Наприклад, програмний вірус може вразити єдину інформаційну систему. Однак той самий програмний вірус, потрапивши на основний мережний файл-сервер, може поширитися на декілька інформаційних систем. Різноманітні загрози чи їх прояв у різних місцях можуть постійно завдавати великої шкоди. Якщо шкода, заподіяна загрозою, є постійною, то можна використовувати універсальний, визначений підхід. Однак якщо обсяги заподіяної шкоди змінюються в широких межах, необхідно використовувати конкретизований підхід, що відповідає локалізації загрози.

Загрози характеризуються даними, що містять корисну інформацію. Приклади такої інформації:

джерело (внутрішнє чи зовнішнє);

мотивація, наприклад збагачення, конкуренція;

частота появи;

серйозність загрози.

Оточення й мікрополітика організації можуть мати істотне значення й обумовлювати вплив загроз на організацію. У критичних ситуаціях деякі загрози в певних мікрополітичних середовищах не розглядають і вважають безпечними.

Вразливості звичайно пов’язані зі слабкими місцями в активах, а саме у розташуванні організації, процесах, персоналі, управлінні, адмініструванні, апаратному та програмному забезпеченні, в інформації. Їх використовують як потенційну загрозу для заподіяння шкоди системі інформаційних технологій чи діловій активності в цілому. Вразливість сама по собі не є причиною шкоди. Вона є умовою чи множиною умов, які можуть допустити вплив загрози на активи.

Вразливість послабляє експлуатовану систему і може призводити до небажаних наслідків. Наприклад, відсутність механізмів контролювання за доступом до службових і гостьових приміщень – вразливість, що може дати змогу загрозі з легкістю впливати на активи і призводити до їхньої втрати. Специфіка конкретної системи чи організації спричинює те, що не всі вразливості чутливі до загроз. Треба негайно приділяти увагу вразливості, що має відповідну загрозу. Оскільки оточення може змінюватися динамічно, усі вразливості потрібно постійно перевіряти щодо відкритості до старих і нових загроз. Аналіз вразливості – це експертиза слабких місць, вразливих до ідентифікованих загроз. Цей аналіз повинен брати до уваги середовище й наявні засоби захисту. Вразливість специфічної системи чи активів до загрози описує способи, якими система чи активи можуть бути ушкоджені.

Ураження – наслідок небажаного інциденту, спричинений навмисним чи випадковим впливом на активи. Наслідки можуть бути згубними для деяких активів, нанести ушкодження системі інформаційних технологій, призвести до втрати конфіденційності, цілісності, доступності, обліковості, достовірності чи надійності ІС. Можливі також і побічні наслідки, наприклад, іміджу компанії. Уведення кількісних характеристик уражень дає можливість знаходити компромісне рішення між втратами в результаті небажаного інциденту і витратами на засоби захисту, які страхують від небажаного інциденту. Необхідно враховувати також і частоту появи небажаних інцидентів. Це особливо важливо, коли заподіяна шкода в кожному окремому випадку незначна, проте сумарні втрати як наслідок багатьох випадків протягом періоду часу будуть дуже великими. Запобігання ураженням є важливим складником у зменшенні ризику і виборі засобів безпеки.

Кількісні і якісні характеристики ураження можна отримати через:

визначання фінансових витрат;

надання емпіричного рангу серйозності, наприклад, від одного до десяти;

використовування залежностей, обраних із заздалегідь визначеного списку, наприклад: низько, середньо, високо.

Ризик – ймовірність того, що активи чи група активів є уразливими до загроз, що, як результат, може спричинити їхнє ушкодження чи знищення. Разові або численні загрози, що повторюються, можуть скористатися окремою чи множинною вразливістю. Сценарій ризику описує як специфічна загроза чи група загроз може скористатися конкретною вразливістю чи групою вразливостей, що шкодять активам. Ризик характеризується комбінацією двох чинників: ймовірністю появи небажаного інциденту і його ураженням. Будь-яка зміна стану активів, загроз, вразливостей і засобів захисту може вплинути на ризики. Чим раніше будуть виявлені зміни в оточенні чи в самій системі, тим більше можливостей для дій, що зменшують ризик.

Засоби безпеки – засоби, процедури або механізми, що можуть захистити від загроз, зменшити вразливість, обмежити ураження внаслідок небажаного інциденту, знайти небажані інциденти і полегшити процес відновлення. Ефективна безпека звичайно потребує комбінації різних засобів безпеки для забезпечення багаторівної безпеки активів. Наприклад, механізми контролювання доступу, які застосовуються в ІС, повинні супроводжуватися засобами управління аудитом, увагою персоналу, навчанням і безпекою фізичних засобів.

Засоби безпеки можуть виконувати одну або декілька таких функцій: виявляння, стримування, запобігання, обмеження, корекція, відновлювання, контролювання й усвідомлення. Відповідний добір засобів безпеки – невід’ємна частина правильно виконаної програми безпеки. Часто вигідніше і дешевше вибрати засоби безпеки, що реалізують декілька функцій аніж боротися з наслідками. Засоби безпеки використовуються фізичним і технічним оточенням (апаратні засоби, програмне забезпечення і зв’язок), персоналом та адміністрацією.

Приклади засобів безпеки:

фаєрволи в мережі;

моніторинг і аналіз мережі;

шифрування з метою забезпечення конфіденційності;

цифрові підписи;

програми антивірусів;

резервні копії інформації;

безперебійні джерела живлення;

механізми контролювання доступу.

Обмеження звичайно установлює чи визнає керівництво організації з урахуванням чинників оточення, в якому діє організація. Розглядають, наприклад, організаційні, фінансові, навколишні, персональні, часові, юридичні, технічні та мікрополітичні/соціальні обмеження:

Усі ці чинники треба враховувати під час вибору і застосування засобів безпеки. Періодично наявні та нові обмеження треба переглядати, фіксуючи будь-які зміни. Необхідно також відзначити, що обмеження можуть змінюватися з часом, географією і соціальним еволюціонуванням, а також з мікро політикою організації. Оточення і мікрополітика, у яких діє організація, можуть негативно впливати на різні елементи безпеки, особливо на загрози, ризики і засоби безпеки.

 

7.3. Моделі управління безпекою інформаційних технологій

 

Відомо, що нині існує багато моделей, спрямованих на забезпечення управління безпекою інформаційних технологій. Вони здебільшого представляють концепції, необхідні для розуміння процесів управління, описують залежності елементів безпеки і управління ризиком, а також власне управління процесом безпеки інформаційних технологій. Один з можливих варіантів структури концепції БІТ подано на рис. 7.4.

Виходячи з того, що забезпечення БІТ фактично є процесом управління ризиками – систему захисту будемо вважати системою управління, яка реалізує технологію забезпечення безпеки. При цьому рівні по управлінню ІБ організації можуть поділятися на:

1) рівень прийняття рішень. Керівництво організації приймає стратегічні рішення з питань створення системи управління ІБ, затверджує основні документи, що регламентують порядок функціонування і розвитку ІС. Керівники і фахівці ІТ-підрозділів, технічного захисту інформації, начальники служб безпеки, керівники й фахівці служб економічної безпеки визначають критичність процесів, ресурсів і необхідний ступінь їхнього захисту, а також координують управління і розподіл обов’язків служб ІБ та ІТ;

2) рівень підготовки інформації для прийняття рішень. Аналітики підрозділів ІБ та ІТ відповідають за аналіз стану безпеки ІТ, визначення вимог до захищеності різних підсистем ІС й вибір методів і засобів захисту, розробляють регламенти (політику ІБ);







Date: 2015-06-11; view: 594; Нарушение авторских прав



mydocx.ru - 2015-2024 year. (0.035 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию