Animated navigation - turn offAnimated navigation - turn off
Animated navigation - turn offAnimated navigation - turn off

  • Лекция №4

    • [[activityicon]]
      Тема 4: "Стандарты управления информационной безопасностью"

      4.1 Стандарты управления информационной безопасностью BS 7799 и ISO/IEC 17799. 

      Их основные положения Информационная безопасность представляет собой проблему высокой сложности. Обеспечение информационной безопасности нуждается в комплексном подходе к разработке средств защиты, как на техническом, так и на организационном уровне. 

      ИБ не может быть обеспечена разовым мероприятием, например, покупкой конкретного набора средств защиты. Арсенал средств защиты нуждается в постоянном обновлении, поскольку новые угрозы и новые уязвимости все время появляются в процессе жизненного цикла ИС. Данное обстоятельство вынуждает рассматривать обеспечение ИБ как постоянный процесс, который принято называть процессом управления информационной безопасностью. Несколько лет назад Британский Институт Стандартов (BSI) при поддержке группы коммерческих организаций приступил к разработке стандарта управления информационной безопасностью, который потом получил название BS 7799.

       При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов управления. В 2000 году этот стандарт был признан международным под названием "Международный стандарт ISO/IEC 17799. «Информационные технологии — Управление информационной безопасностью».

      Стандарт ISO/IEC 17799 — это модель системы управления, которая определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.п. в контексте информационной безопасности. В процессе внедрения стандарта создается так называемая система управления (управления) информационной безопасности, цель которой — сокращение материальных потерь, связанных с нарушением информационной безопасности. Основная идея стандарта — помочь коммерческим и государственным хозяйственным организациям решить достаточно сложную задачу: не только обеспечить надежную защиту информации, но также организовать эффективный доступ к данным и нормальную работу с ними.

      Структура стандарта позволяет выбрать те средства управления, которые имеют отношение к конкретной организации или сфере ответственности внутри организации. 

      Содержание стандарта включает следующие разделы (рис. 1): 

      • политика безопасности; 

      • организация защиты; 

      • классификация ресурсов и контроль; 

      • безопасность персонала; 

      • физическая безопасность и безопасность окружающей среды; 

      • администрирование компьютерных систем и вычислительных сетей; 

      • управление доступом к системе; 

      • разработка и сопровождение информационных систем; 

      • планирование непрерывной работы организации; • выполнение требований (соответствие законодательству).

      В связи с этим выделяется ряд ключевых элементов управления, которые представляются как фундаментальные: 

      • политика информационной безопасности; 

      • распределение ответственности за информационную безопасность; 

      • образование и тренинг по информационной безопасности; 

      • отчетность за инциденты по безопасности; 

      • защита от вирусов;

       • обеспечение непрерывности работы; 

      • контроль копирования лицензионного программного обеспечения; 

      • защита архивной документации организации; 

      • защита персональных данных; 

      • реализация политики информационной безопасности.

      Как видно, наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, учебу, освобождение от работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

      Риск определяется как произведение показателя возможных потерь (ущерба) на вероятность того, что эта потеря произойдет.

      Под потерями понимают материальные потери, связанные с нарушением следующих свойств информационного ресурса: 

      • конфиденциальность — защищенность информации от несанкционированного доступа; 

      • целостность — защищенность информации от несанкционированного изменения, обеспечения ее точности и полноты;

      • доступности — возможность использования информации, когда в этом возникает необходимость, работоспособность системы. 

      Стандарт не сосредотачивается только на обеспечении конфиденциальности. В коммерческих организациях, с точки зрения материальных потерь, вопросы целостности и доступности чаще всего более весомые.

       В упрощенном виде анализ риска сводится к ответам на следующие вопросы: 

      • Что может угрожать информационным ресурсам? 

      • Какова уязвимость этим угрозам, то есть, что может произойти с тем или другим информационным ресурсом? 

      • Если это произойдет, то насколько тяжелыми будут последствия? Какие возможны убытки? 

      • Как часто следует ожидать подобные случаи? В настоящее время, разработана следующая версия данного стандарта.

      4.2. Международный стандарт ISO/IEC 27001:2005 "Системы управления информационной безопасности. 

      Требования" Информационная безопасность тесно связана с работой бизнеса, его конкурентоспособностью, успешностью имиджа предприятия и, в конечном итоге, доходами компании. Лучшей мировой практикой в области управления информационной безопасностью признан стандарт ISO/IEC 27001:2005. 

      Область применения 

      Все виды организаций (например, коммерческие и некоммерческие организации, правительственные организации) Определяет требования к средствам контроля безопасности, специально разработанные для нужд организации, или ее части. 

      Цель - выбор адекватных и соразмерных средств контроля ИБ, которые защищают информационные активы и предоставляют уверенность заинтересованным сторонам. 

      Назначение: Устанавливает требования к системе управления информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

      Структура стандарта Общие положения: 

      1. Область применения 

      2. Нормативные ссылки 

      3. Термины и определения 

      4. Система информационной безопасности 

      5. Обязательства руководства 

      6. Внутренние аудиты системы управления 

      7. Анализ системы управления информационной безопасности руководством 

      8. Совершенствование системы управления информационной безопасности

      4.3 Сертификация СУИБ на соответствие ISO 27001 

       Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам используется процедура добровольной сертификации. 

      ISO 27001:2005 является стандартом, по которому проводится официальная сертификация СУИБ. Стандарт представляет собой перечень требований, обязательных для сертификации. 

      Под сертификацией системы управления информационной безопасностью (СУИБ) организации по требованиям стандарта ISO 27001:2005 понимается комплекс организационно-технических мероприятий, проводимых независимыми экспертами, в результате чего подтверждается наличие и надлежащее функционирование всех рекомендуемых стандартом механизмов контроля, применимых в данной организации. 

      Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время. Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и спонсоров.

      Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню информационной безопасности областях, такой, например, как финансы, наличие сертификата соответствия ISO 27001 начинает выступать как обязательное требование для осуществления деятельности. Некоторые российские компании уже сталкиваются с этими ограничениями. 

       Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в системе управления информационной безопасностью, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов безопасности, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.