Связь смб с другими системами реферат

Обновлено: 16.05.2024

2.2.3. Шаги реализации стандартной СМИБ организации.

Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:

— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;

— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;

— явная поддержка и приверженность руководства всех уровней;

— хорошее понимание требований ИБ, оценки риска и менеджмента риска;

— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;

— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;

— обеспечение финансирования мероприятий менеджмента ИБ;

— обеспечение соответствующей информированности, обучения и образования;

— установление эффективного процесса менеджмента инцидентов информационной безопасности;

— реализация оценивания системы, которое используется для оценок эффективности функционирования менеджмента информационной безопасности и предложений по совершенствованию, поступающих по каналам обратной связи с руководством.

Следование требованиям стандартов СМИБ предполагает последовательное продвижение к спецификации защитных мер организации (административных, организационных, технологических, технических и иных) и соответствующих целевых процессов деятельности, необходимых для контроля рисков деятельности организации в ее информационной сфере.

В общем случае этап планирования СМИБ в соответствии с требованиями стандарта [11] может включать следующие 10 шагов, представленных в таблице 2, реальное наполнение которых определяется самой организацией.

Графически данные шаги иллюстрирует рис. 31.

Фактически представленные на рис. 31 и 32 шаги этапа планирования СМИБ преследуют цель принятие решения организацией по следующим трем основным вопросам:

— установление сферы применения и политики системы менеджмента информационной безопасности (шаги 1 и 2);

— выбор защитных мер на основе менеджмента риска (шаги 3–7);

При установлении сферы применения и политики системы менеджмента информационной безопасности должны рассматриваться:

— местоположение (географическое и физическое);

Результаты определения применимой сферы действия СМИБ оказывают существенное влияние на объемы работ, которые необходимо будет выполнить при установлении системы менеджмента информационной безопасности. Приведенный ниже рис. 33 показывает общие задачи, связанные с определением применимой сферы действия СМИБ, и сопутствующие элементы.

Политика системы менеджмента информационной безопасности должна закрепить основные концепции менеджмента информационной безопасности в организации. Документы политики (структурно это может включать неограниченное число физически отдельных документов) также могут служить в качестве декларации намерений организации, отражающей то, что организация понимает и несет ответственность за требования информационной безопасности. Это бывает критичным для целей внешнего финансового аудита, если ценные бумаги организации претендуют или представлены на финансовых рынках. Содержание политики системы менеджмента информационной безопасности должно соответствовать политикам бизнеса и принципам и стилю корпоративного управления, устанавливающее основные задачи и цели организации, а также моральные нормы и принципы. Поэтому политики должны формулировать общую базисную точку информационной безопасности и содержать руководства к действию персонала компании, включая операционное руководство (см. рис. 29).

Шаги по установлению политики системы менеджмента информационной безопасности иллюстрирует рис. 34.

Содержательно вопросы определения политики системы менеджмента информационной безопасности преследуют следующие три основные цели:

— подготовка документов политики системы менеджмента информационной безопасности;

— установление организационной структуры системы менеджмента информационной безопасности;

— получение одобрения руководства (санкционирование работ по модернизации).

Это формирует основу для принятия решений о подходе к оценке риска. Нижеследующий рис. 35 иллюстрирует основное содержание данного шага работ.

В основе методологии стандартной СМИБ лежит риск-ориентированный подход. Он основывается на предположении того, что оценка риска делает возможным понимание следующих вопросов, связанных с информационными активами, которыми владеет организация:

— каковы актуальные угрозы и их источники — факторы риска;

— как часто возможно возникновение угроз;

— сколько и какие информационные активы могут подвергнуться влиянию при возникновении угрозы.

В науке о безопасности, как правило, выделяется следующие четыре подхода в качестве методов оценки риска.

Базовый подход. Заранее устанавливается определенный уровень безопасности, который должен обеспечиваться, выбираются необходимые для реализации меры и единообразно применяются к каждой рассматриваемой системе.

Неформальный подход. Риски оцениваются на основе имеющегося опыта и суждений специалистов организации или ответственных сотрудников.

Комбинированный подход. Используется комбинация вышеперечисленных подходов с целью дополнения недостатков одного подхода преимуществами другого, что должно привести к большей эффективности и точности анализа и оценки.

Любой из указанных подходов в итоге сводится к сравнению с порогом (это самый деликатный и философский объект), что в итоге должно позволить понять, следует ли что-то предпринять или в этом нет необходимости.

Что касается комбинированного подхода, то он, как правило, сочетает базовый подход с подробным анализом риска, что в итоге признано наиболее эффективной стратегией. Однако определение того, какой подход должен использоваться в определенной ситуации, является нелегкой задачей. Решение о наилучшем подходе зависит от требований безопасности для информационных активов (таких как требования бизнеса, правовые и регулятивные требования и договорные обязательства, касающиеся безопасности, и т. д.).

Целью комбинированного подхода является оценка среды, окружающей каждый информационный актив, и использования соответствующего подхода для анализа риска. Рис. 37 иллюстрирует пример комбинированного подхода.

В процессе идентификации рисков, должны решаться следующие две задачи:

— идентификация информационных активов;

— идентификация факторов риска и уязвимостей.

В общем случае в инвентаризационной описи информационных активов должны быть представлены следующие сведения по каждому активу:

— лицо, отвечающее за информацию (владелец или менеджер информационных активов);

— формат информационных активов;

— как следует снимать с эксплуатации активы;

— масштаб пользователей (и бизнес-процессов);

— зависимости от других процессов.

Отдельная идентификация информационных активов и понимание их свойств будут полезны при идентификации факторов риска и уязвимостей, связанных с последующими задачами, и определении ценности активов. В целом процесс идентификации информационных активов иллюстрирует рис. 38.

Степень детализации в задачах идентификации информационных активов, факторов риска и уязвимостей определяется выбранным подходом к оценке рисков. Оценка риска может проводиться любым, отвечающим выбранному подходу к оценке рисков методом. Принципиальным здесь является лишь то, что результаты такой оценки должны нас максимально близко подвести к соответствующим типам и видам защитных мер, использование которых предполагается обосновать результатами оценки рисков.

Вопросы реализации СМИБ на практике неотделимы от соответствующих процедур контроля, организованных в отдельном блоке требований СМИБ, что часто вводит в заблуждение пользователей стандарта. Шаги задач контроля и проверки иллюстрирует рис. 40. Названия документов, представленных на рис. 40, являются примерными.

Формально в содержание работ контроля входят следующие задачи:

— осуществление мониторинга и проверки процедур и других средств контроля рисков (защитных мер) для быстрого обнаружения ошибок в результатах обработки, быстрой идентификации нарушений безопасности и инцидентов, предоставления руководству информации контроля, содействия обнаружению событий безопасности и предотвращения таким образом инцидентом безопасности посредством использования соответствующей системы признаков, определения, были ли эффективными действия, предпринимаемые для ликвидации нарушения безопасности;

— регулярные проверки эффективности СМИБ (включая исполнение политики и целей СМИБ, проверку средств контроля безопасности), учитывая результаты аудитов безопасности, инциденты, результаты измерений эффективности, предложения и мнения от всех заинтересованных сторон;

— пересматривать оценки риска через запланированные интервалы времени, а также остаточные риски и идентифицированные приемлемые уровни риска в соответствии с изменениями вовне организации и в ее операционной и бизнес-среде;

— осуществлять внутренние аудиты СМИБ;

— осуществлять проверки руководством СМИБ для целей подтверждения адекватности сферы действия СМИБ и эффективности мер по совершенствованию СМИБ и т. п.

Все это должно сформировать основу решений по совершенствованию СМИБ. Шаги задач поддержка и совершенствования СМИБ иллюстрирует рис. 41.

Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.
Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Содержание

Внедрение системы менеджмента информационной безопасности……………………………………………………………………….4
Организация защиты информации на предприятии……………. 10
Документирование конфиденциальной информации………………11
Библиографический список………………………………………………..13
Список электронных ресурсов…………………………………………….14

Вложенные файлы: 1 файл

Реферат123.docx

Система менеджмента информационной безопасности и защиты информации организации: документирование конфиденциальной информации

1. Список сокращений и специальных терминов…………………… ……….3
2. Содержание реферата………………………………………………………. .4
   1. Внедрение системы менеджмента информационной безопасности……………………………………………… ……………………….4
   2. Организация защиты информации на предприятии……………. 10
   3. Документирование конфиденциальной информации………………11

   Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

   Доступность информации – это возможность получить за приемлемое время требуемую информационную услугу.

   Информационная безопасность — это состояние защищённости информационной среды; защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

   Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

   Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

   Конфиденциальность информации – это защита от несанкционированного доступа к информации.

   Политика безопасности – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

   Система менеджмента информационной безопасности — это совокупность процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных активов.

   Целостность информации – актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

   1. Внедрение системы менеджмента информацио нной безопасности

   Перечень процессов и рекомендации, как наилучшим образом организовать их функционирование, приведены в международном стандарте ISO 27001:2005.

   Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

   Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

   Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

   • управление внутренней организацией информационной безопасности;
   • обеспечение информационной безопасности при взаимодействии с третьими сторонами;
   • управление реестром информационных активов и правила их классификации;
   • управление безопасностью оборудования;
   • обеспечение физической безопасности;
   • обеспечение информационной безопасности персонала;
   • планирование и принятие информационных систем;
   • резервное копирование;
   • обеспечение безопасности сети;
   • и многие другие.

   Процессы системы менеджмента информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность — это результат устойчивого функционирования процессов, связанных с информационными технологиями.

   Использование ИТ-решений для поддержки основных бизнес-процессов компании или непосредственно для оказания услуг клиентам предъявляет высокие требования к их качеству – доступности, мощности, непрерывности и безопасности использования. Реализация угроз различного характера – от вирусной эпидемии во внутренней сети до отказа системы электропитания в масштабах города – может привести к нарушению деятельности организации, прямым финансовым потерям и ущербу репутации. Зрелая Система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление обеспечением ИБ: отсутствие неприемлемых рисков со стороны ИТ-систем для организации, и поддержание баланса между рисками и затратами на обеспечение ИБ.

   Выгоды от реализации СМИБ в организации достигаются за счет:

   • эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
   • предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
   • повышения культуры ИБ в организации;
   • повышения зрелости в области управления обеспечением ИБ;
   • оптимизации расходования средств на обеспечение ИБ.

   Компания Открытые Технологии предоставляет своим клиентам полный спектр услуг в области построения, эксплуатации, развития и сертификации СМИБ.

   Современная СМИБ представляет собой процессно- ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие разрезы СМИБ: процессный, документальный и зрелостный.

   Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит из четырех типов деятельности: Создание – Внедрение и эксплуатация – Мониторинг и анализ – Сопровождение и совершенствование. Процессы СМИБ интегрируются в существующую структуру бизнес-процессов организации для выполнения всех требований стандарта.

   Для их автоматизации применяется специализированное программное обеспечение, использование которого позволяет существенно уменьшить трудоемкость эксплуатации СМИБ, повысить уровень зрелости процессов менеджмента и упростить процедуры внутреннего и внешнего сертификационного аудита.

   Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

   Документация менеджмента ИБ представлена Политиками ИБ и СМИБ, основной процедурой – "Менеджмент ИБ" и сопутствующими формами записей, процедурами "Внутренний аудит", "Управление документацией" и Управление Записями. При необходимости СМИБ интегрируется с существующей в организации СМК, а также с другими системами менеджмента.

   Зрелостная модель СМИБ определяет состав и детализацию разрабатываемой документации, последовательность построения СМИБ, детальность разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

   При построении СМИБ специалисты компании Открытее Технологии проводят следующие работы:

   • организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
   • определяют область деятельности (ОД) СМИБ;
   • обследуют организацию в ОД СМИБ:
     • в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
     • в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
     • в части ИТ инфраструктуры;
     • в части ИБ инфраструктуры;

     Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.

     Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:

     • выбор сертифицирующей организации;
     • организацию предсертификационного аудита;
     • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на предсертификационном аудите;
     • организацию сертификационного аудита;
     • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на сертификационном аудите;
     • сопровождение СМИБ после сертификационного аудита.

     Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.

     Используются следующие источники:

     • международные стандарты ISO/IEC: 27001:2005, 27005:2008, 27002:2005;
     • другие зарубежные стандарты и рекомендации: ISO/IEC TR 18044, BS 25999-1:2006, BS 25999-2:2007, PAS 77:2006, IT BIP 0071, 0072, 0073, 0074, NIST SP 800-53:2007;
     • собственные разработки компании Открытые Технологии: концепция обеспечения информационной безопасности в распределенной организации;
     • количественная и рейтинговая методики оценки рисков ИБ; обобщенная процессная модель СМИБ;
     • типовые проекты построения технических подсистем информационной безопасности.

     Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.

     Пути создания системы менеджмента информационной безопасности на предприятиях Донецкого региона

     Научный руководитель: к.т.н., доц. Котляр Николай Андреевич

     Содержание

     Введение

     Быстро развивающееся предприятие, равно как и гигант своего сегмента, заинтересовано в получении прибыли и ограждении себя от воздействия злоумышленников. Если ранее основной опасностью были кражи материальных ценностей, то на сегодняшний день основная роль хищений происходит в отношении ценной информации. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации [1].

     Особенно остро ощущают утечку информации банки, управленческие организации, страховые предприятия. Защита информации на предприятии — это комплекс мер, обеспечивающий безопасность данных клиентов и сотрудников, важных электронных документов и разного рода информации, тайн. Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое) воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности. Но этого будет мало, потому что, кроме техники, существует человеческий фактор, который также успешно может сливать информацию конкурентам. Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных.

     1. Актуальность темы

     Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка, неимение и кража информации — это всегда убытки для каждой компании. Поэтому создание системы менеджмента информационной безопасности на предприятиях является актуальным вопросом современности.

     2. Цели и задачи исследования

     Проанализировать пути создания системы менеджмента информационной безопасности на предприятии, учитывая особенности Донецкого региона.

     • провести анализ современного состояния систем менеджмента информационной безопасности на предприятиях;
     • выявить причины создания и внедрения системы менеджмента информационной безопасности на предприятиях;
     • разработать и внедрить систему менеджмента информационной безопасности на примере предприятия ЧАО Донецкий завод горноспасательной аппаратуры ;
     • оценить результативность, эффективность и экономическую целесообразность внедрения системы менеджмента информационной безопасности на предприятии.

     3. Система менеджмента информационной безопасности

     Под информационной безопасностью понимают состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений.

     Доступность информации — свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизированных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними.

     Целостность информации — свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).

     Конфиденциальность информации — свойство информации быть известной и доступной, только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности.

     Система менеджмента информационной безопасности (далее СМИБ) — часть общей системы менеджмента, основанной на подходах к деловому риску, предназначенная для учреждения, внедрения, управления, мониторинга, поддержания и улучшения информационной безопасности [2].

     Основными факторами, оказывающими влияние на защиту информации и данных на предприятии, являются:

     • Приумножение сотрудничества компании с партнерами;
     • Автоматизация бизнес-процессов;
     • Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
     • Тенденция к росту компьютерных преступлений.

     Задачи систем информационной безопасности компании многогранны. К примеру, это обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.

     Полноценное обеспечение информационной безопасности компании реально только при правильном подходе к защите данных. В системе информационной безопасности нужно учитывать все актуальные на сегодняшний день угрозы и уязвимости.

     Одним из наиболее эффективных инструментов управления и защиты информации является система менеджмента информационной безопасности, построенная на базе модели МС ISO/IEC 27001:2005. В основе стандарта лежит процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ компании. Он заключается в создании и применении системы процессов управления, которые взаимоувязаны в непрерывный цикл планирования, внедрения, проверки и улучшения СУИБ [3].

     Настоящий международный стандарт был подготовлен с целью создания модели для внедрения, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СМИБ.

     Основные факторы реализации СМИБ:

     • законодательные — требования действующего национального законодательства в части ИБ, международные требования;
     • конкурентные — соответствие уровню, элитарность, защита своих НМА, превосходство;
     • антикриминальные — защита от рейдеров ( белых воротничков ), предупреждение НСД и скрытого наблюдения, сбор доказательств для разбирательств.

     Структура документации в области информационной безопасности изображена на рисунке 1.

     
     

     Рисунок 1 — Структура документации в области ИБ

     4. Построение СМИБ

     Сторонники подходов ISO используют для создания СМИБ модель PDCA. ISO применяет эту модель во многих своих стандартах по менеджменту и ISO 27001 не является исключением. Кроме того, следование модели PDCA при организации процесса менеджмента позволяет использовать те же приемы и в дальнейшем – для менеджмента качества, экологического менеджмента, менеджмента безопасности, а также в других областях менеджмента, что снижает затраты. Поэтому PDCA является отличным выбором, полностью отвечающим задачам по созданию и поддержке СМИБ. Иными словами, этапы PDCA определяют, как установить политику, цели, процессы и процедуры, соответствующие обрабатываемым рискам (этап планирования — Plan), внедрить и использовать (этап выполнения — Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (этап проверки — Check), выполнять корректирующие и превентивные действия (этап улучшения — Act). Дополнительными концепциями, не входящими в состав стандартов ISO, которые могут быть полезны при создании СМИБ, являются: состояние как должно быть (to-be); состояние как есть (as-is); план перехода (transition plan).

     Основа стандарта ИСО 27001 — система управление рисками, связанными с информацией [4].

     Этапы создания СУИБ

     В рамках работ по созданию СУИБ можно выделить следующие основные этапы:

     1. Принятие решения о создании СУИБ.
        Решение о создании и последующей сертификации СУИБ должно приниматься высшим руководством организации. Таким образом руководство выражает свою поддержку началу данного процесса, что является ключевым фактором для успешного внедрения СУИБ в организации. При этом руководство должно осознавать конечную цель данного мероприятия и ценность сертификации для бизнеса компании.
     2. Подготовка к созданию СУИБ.
        Не менее важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. Рабочая группа должна иметь в своем распоряжении всю необходимую нормативно-методическую базу для успешного создания системы управления информационной безопасностью, соответствующей требованиям Стандарта. Для уточнения объема работ и необходимых затрат на создание и последующую сертификацию СУИБ члены рабочей группы проводят работы по выявлению и анализу несоответствий существующих в организации мер защиты требованиям Стандарта [5].
     3. Анализ рисков.
        Одной из наиболее ответственных и сложных задач, решаемых в процессе создания СУИБ, следует назвать проведение анализа рисков информационной безопасности в отношении активов организации в выбранной области деятельности и принятие высшим руководством решения о выборе мер противодействия выявленным рискам. Анализ рисков — это основной движущий процесс СУИБ. Он выполняется не только при создании СУИБ, но и периодически при изменении бизнес-процессов организации и требований по безопасности [6]. Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СУИБ в эксплуатацию.
     4. Разработка политик и процедур СУИБ.
        Разработка организационно-нормативной базы, необходимой для функционирования СУИБ, может проводиться параллельно с реализацией мероприятий плана обработки рисков. На данном этапе разрабатываются документы, явно указанные в Стандарте, а также те, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к защите информации.
     5. Внедрение СУИБ в эксплуатацию.
        Датой ввода СУИБ в эксплуатацию является дата утверждения высшим руководством компании положения о применимости средств управления. Данный документ является публичным и декларирует цели и средства, выбранные организацией для управления рисками. При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления.

     Рисунок 2 — Модель PDCA для управления ИБ (анимация: 6 кадров, 6 повторений, 246 килобайт)

     5. Управление рисками, связанными с информацией

     Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

     Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере) оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки [7].

     Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

     Процесс управления рисками можно разделить на следующие этапы:

     1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
     2. Выбор методологии оценки рисков.
     3. Идентификация активов.
     4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
     5. Оценка рисков.
     6. Выбор защитных мер.
     7. Реализация и проверка выбранных мер.
     8. Оценка остаточного риска.

     Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными.

     Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.

     Основные этапы управления рисками.

     Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

     Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты.

     После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

     Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.

     Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).

     Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

     Выводы

     Каждый руководитель предприятия заботится о своем бизнесе и поэтому должен понимать, что решение о внедрении системы менеджмента информационной безопасности (СМИБ) — важный шаг, который позволит минимизировать риски потерь активов предприятия/организации и сократить финансовые потери, а в некоторых случаях избежать банкротства.

     Информационная безопасность важна для предприятий, как частного, так и государственного секторов. Ее следует рассматривать как инструмент реализации оценки, анализа и минимизации соответствующих рисков.

     Безопасность, которая может быть достигнута техническими средствами, имеет свою ограниченность и ее следует поддерживать соответствующими методами управления и процедурами.

     Определение средств управления требует тщательного планирования и внимания.

     Для эффективной защиты информации, должны быть разработаны наиболее подходящие меры безопасности, которые могут быть достигнуты путем определения основных рисков информации в системе и внедрением соответствующих мер.

     Интеграция целей и средств управления с менеджментом рисков приводит к сокращению, возможно и полному отсутствию финансовых потерь.

     При написании данного реферата магистерская работа еще не завершена.

     Окончательное завершение: июнь 2017 года. Полный текст работы и материалы по теме могут быть получены у автора или его руководителя после указанной даты.

     Стандарт BS ISO/IEC 27001:2005 описывает модель системы управления информационной безопасностью (СМИБ) и предлагает набор требований к организации ИБ на предприятии без привязки к способам реализации, которые выбираются исполнителями организации.

     В стандарте предложено применение модели PDCA (Plan-Do-Check-Act) к жизненному циклу СМИБ, который включает разработку, внедрение, эксплуатацию, контроль, анализ, поддержку и совершенствование (Рисунок 1).

     Plan (Планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

     Do (Действие) — этап реализации и внедрения соответствующих мер;

     Check (Проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

     Act (Улучшения) — выполнение превентивных и корректирующих действий.

     
     

     Решение о создании (и последующей сертификации) СМИБ принимается высшим руководством организации. Это демонстрирует поддержку и подтверждение руководством ценности СМИБ для бизнеса. Руководство организации инициирует создание группы по планированию СМИБ.

     Группа, ответственная за планирование СМИБ, должна включать:

     · представителей высшего руководства организации;

     · представителей бизнес-подразделений, охватываемых СМИБ;

     · специалистов подразделений ИБ;

     · сторонних консультантов (при необходимости).

     Комитет по ИБ обеспечивает поддержку эксплуатации СМИБ и ее непрерывного совершенствования.

     
     

     Рабочая группа должна руководствоваться нормативно-методической базой, как в отношении создания СМИБ, так и относящейся к сфере деятельности организации, и, конечно, общей системой государственных законов.

     Нормативная база по созданию СМИБ:

     · ISO/IEC 27000:2009 Словарь и определения.

     · ISO/IEC 27001:2005 Общие требования к СМИБ.

     · ISO/IEC 27002:2005 Практическое руководство по управлению информационной безопасностью.

     · ISO/IEC 27003:2010 Практическое руководство по внедрению СМИБ.

     · ISO/IEC 27004:2009 Метрики (Измерения) ИБ.

     · ISO/IEC 27005:2011 Руководство по менеджменту рисков ИБ.

     · ISO/IEC 27006. Рекомендации для аудиторов и органов сертификации

     · ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.

     · ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security managment.

     · ISO/IEC TR 18044 Information technology — Security techniques — Information security incident management.

     · ISO/IEC 19011:2002 Guidelines for quality and / or environmental management systems auditing.

     · Серия методик Британского института стандартов по созданию СМИБ (ранее: документы серии PD 3000).

     Процесс создания СМИБ состоит из 4 этапов:

     1 этап. Планирование СМИБ.

     Установление политики, целей, процессов и процедур, относящихся к управлению рисками и защите информации, в соответствии с общей политикой и целями организации.

     a) Определение области применения и границ СМИБ:

     · Описание вида деятельности и бизнес-целей организации;

     · Указание границ систем, охватываемых СМИБ;

     · Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);

     · Описание бизнес-процессов, использующих защищаемую информацию.

     Описание границ системы включает:

     — Описание существующей структуры организации (с возможными изменениями, которые могут возникнуть в связи с разработкой информационной системы).

     — Ресурсы информационной системы, подлежащие защите (вычислительная техника, информация, системное и прикладное ПО). Для их оценки должна быть выбрана система критериев и методика получения оценок по этим критериям (категорирования).

     — Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

     — Схема информационной системы организации и поддерживающей инфраструктуры.

     Как правило, на этом этапе составляется документ, в котором фиксируют границы информационной системы, перечисляют информационные ресурсы компании, подлежащие защите, приводят систему критериев и методики для оценки ценности информационных активов компании.

     b) Определение политики в отношении СМИБ организации (расширенная версия ПБ).

     Содержание политики СМИБ:

     · Цели, направления и принципы деятельности в отношении защиты информации;

     · Ссылки на законодательные, нормативные и деловые требования, а также договорные обязательства по ЗИ, определение на их основе основных требований и положений политики ИБ организации;

     · Описание стратегии (подходов) управления рисками в организации, структуризация контрмер по защите информации по видам (правовые, организационные, аппаратно-программные, инженерно-технические);

     · Описание критериев значимости риска;

     · Позиция руководства, определение периодичности проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы по вопросам ИБ.

     c) Определение подхода к оценке рисков в организации.

     Методология оценки риска выбирается в зависимости от СМИБ, установленных деловых требований защиты информации, законодательных и нормативных требований.

     Выбор методологии оценки рисков зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер по защите информации. В частности различают базовые, а также повышенные или полные требования к режиму ИБ.

     Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Такие требования применяются, как правило, к типовым проектным решениям. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как: вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. Зарубежные стандарты в этой области ISO 27002, BSI, NIST и др.

     В случаях, когда нарушения режима ИБ ведут к тяжелым последствиям, предъявляются дополнительно повышенные требования.

     Для формулирования дополнительных повышенных требований, необходимо:

     — определить ценность ресурсов;

     — к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

     — оценить вероятности угроз;

     — определить уязвимости ресурсов;

     — оценить потенциальный ущерб от воздействий злоумышленников.

     Необходимо подобрать такую методику оценки рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или создать свою методику, адаптированную к специфике компании и охватываемой СМИБ области деятельности.

     Последний вариант наиболее предпочтителен, поскольку пока большинство существующих на рынке продуктов, реализующих ту или иную методику анализа рисков, не отвечают требованиям Стандарта. Типичными недостатками таких методик являются:

     · стандартный набор угроз и уязвимостей, который зачастую невозможно изменить;

     · принятие в качестве активов только программно-технических и информационных ресурсов — без рассмотрения человеческих ресурсов, сервисов и других важных ресурсов;

     · общая сложность методики с точки зрения ее устойчивого и повторяющегося использования.

     · Критерии принятия рисков и приемлемые уровни риска (должны базироваться на достижении стратегических, организационных и управленческих целей организации).

     d) Выявление рисков.

     · Идентификация активов и их владельцев

     — информационные входные данные;

     — информационные выходные данные;

     — ресурсы: люди, инфраструктура, оборудование, программное обеспечение, инструменты, услуги.

     · Идентификация угроз (в стандартах по оценке рисков зачастую предлагаются классы угроз, которые можно дополнять и расширять).

     · Идентификация уязвимостей (также существуют списки наиболее распространенных уязвимостей, на которые можно опираться при анализе своей организации).

     · Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.

     · Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.

     · Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и оценки возможного наносимого ущерба;

     · Определение уровня риска.

     Применение критериев принятия риска (приемлемый/требующий обработки).

     f) Обработка рисков (в соответствии с выбранной стратегией управления рисками).

     — принятие риска (решение о приемлемости полученного уровня риска);

     — уклонение от риска (решение об изменении деятельности, вызывающей данный уровень риска – вынесение веб-сервера за границы локальной сети);

     — уменьшение риска (применением организационных и технических контрмер);

     — передача риска (страхование (пожара, кражи, ошибок в ПО)).

     Выбор возможных действий зависит от принятых критериев рисков (задается приемлемый уровень риска, уровни риска, которые могут быть понижены средствами управления ИБ, уровни риска, при которых рекомендуется отказаться или преобразовать вид деятельности, которая его вызывает, и риски, которые желательно передать другим сторонам).

     g) Выбор целей и средств управления для обработки риска.

     Цели и средства управления должны реализовывать стратегию управления рисками, учитывать критерии для принятия рисков и законодательные, нормативные и др. требования.

     Стандарт ИСО 27001-2005 предлагает список целей и средств управления в качестве основы для построения плана обработки рисков (требований к СМИБ).

     План обработки рисков содержит перечень первоочередных мероприятий по снижению уровней рисков с указанием:

     · лиц, ответственных за реализацию данных мероприятий и средств;

     · сроков реализации мероприятий и приоритетов их выполнения;

     · ресурсов для реализации таких мероприятий;

     · уровней остаточных рисков после внедрения мероприятий и средств управления.

     Принятие плана обработки рисков и контроль за его выполнением осуществляет высшее руководство организации. Выполнение ключевых мероприятий плана является критерием, позволяющим принять решение о вводе СМИБ в эксплуатацию.

     На данном этапе производится обоснование выбора различных контрмер по ЗИ, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности. (Далее комплекс контрмер реализуется в соответствии с выбранной стратегией управления информационными рисками). При полном варианте анализа рисков, для каждого риска дополнительно оценивается эффективность контрмер.

     h) Утверждение руководством предлагаемого остаточного риска.

     i) Получение разрешения руководства на реализацию и ввод в эксплуатацию СМИБ.

     j) Заявление о применимости (в соответствии с ИСО 27001-2005).

     Датой ввода СМИБ в эксплуатацию является дата утверждения высшим руководством компании Положения о применимости средств управления, которое описывает цели и средства, выбранные организацией для управления рисками:

     · средства управления и контроля, выбранные на этапе обработки рисков;

     · уже существующие в организации средства управления и контроля;

     · средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций;

     · средства, обеспечивающие выполнение требований заказчиков;

     · средства, обеспечивающие выполнение общекорпоративных требований;

     · любые другие соответствующие средства управления и контроля.

     2 этап. Реализация и эксплуатация СМИБ.

     Для внедрения и эксплуатации политики ИБ, средств управления, процессов и процедур в области ИБ выполняются следующие действия:

     a) Разработка плана обработки рисков (описание запланированных средств управления, ресурсов (программные, аппаратные, персонал), которые требуются для их реализации, поддержки, контроля, и обязанностей руководства по управлению рисками ИБ (разработка документов на этапе планирования, поддержка целей ИБ, определение ролей и ответственности, обеспечение необходимыми ресурсами для создания СМИБ, аудит и анализ).

     b) Распределение финансирования, ролей и ответственности по реализации плана обработки рисков.

     c) Внедрение запланированных средств управления.

     d) Определение контрольных показателей эффективности (метрик) средств управления, методов их измерения, которые обеспечат сравнимые и воспроизводимые результаты.

     e) Повышение квалификации, осведомленности персонала в области ИБ в соответствии с их трудовыми обязанностями.

     f) Управление эксплуатацией СМИБ, управление ресурсами для поддержки в рабочем состоянии, контроля и улучшения СМИБ.

     g) Внедрение процедур и других средств управления для быстрого обнаружения и реагирования на инциденты ИБ.

     3 этап .Постоянный контроль и анализ функционирования СМИБ.

     Этап предполагает проведение оценки или измерений ключевых показателей эффективности процессов, анализ результатов и предоставление отчетов руководству для анализа и включает:

     а) Проведение постоянного контроля и анализа (позволяет быстро обнаруживать ошибки функционирования СМИБ, быстро выявлять и реагировать на инциденты безопасности, разграничить роли персонала и автоматизированных систем в СМИБ, предотвращать инциденты безопасности за счет анализа необычного поведения, определять результативность обработки инцидентов безопасности).

     b) Проведение регулярного анализа результативности СМИБ (анализируются соответствие политике и целям СМИБ, аудиты, ключевые показатели эффективности, предложения и реакция заинтересованных сторон).

     c) Измерение эффективности средств управления для проверки выполнения требований защиты

     d) Периодическая переоценка рисков, анализ остаточных рисков и определение приемлемых уровней риска при каких-либо изменениях в организации (бизнес-целей и процессов, выявленных угроз, новых выявленных уязвимостей и т.д.)

     e) Периодическое проведение внутренних аудитов СМИБ.

     Аудит СМИБ – проверка соответствия выбранных контрмер целям и задачам бизнеса, декларированным в ПБ организации, по его результатам проводится оценка остаточных рисков и, в случае необходимости, их оптимизация.

     f) Регулярный анализ области применения и тенденции СМИБ руководством.

     g) Обновление планов управления рисками для учета результатов контроля и анализа.

     h) Ведение журналов регистрации событий, оказавших негативное влияние на результативность или качество работы СМИБ.

     4 этап. Поддержка и улучшение СМИБ.

     По результатам внутреннего аудита СМИБ и анализа со стороны руководства разрабатываются и внедряются корректирующие и предупреждающие действия, направленные на постоянное улучшение СМИБ:

     a) Совершенствование политики ИБ, целей защиты информации, проведение аудита, анализ наблюдаемых событий.

     b) Разработка и реализация корректирующих и предупреждающих действий для устранения несоответствий СМИБ требованиям.

     Читайте также:

       
     • Геополитические итоги второй мировой войны реферат
       
     • Тепловые процессы и аппараты реферат
       
     • Задачи и содержание работы по формированию пассивного и активного словаря реферат
       
     • Развитие мобильного банкинга в россии реферат
       
     • Контроль как основная функция управления государственной и муниципальной собственностью реферат