Политика информационной безопасности

Информация все больше становится стратегическим ресурсом государства, производственной силой и дорогим товаром. Это не может не вызвать стремление государств, организаций, отдельных граждан получить преимущества за счет овладения информацией, недоступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов.

Остроту межгосударственного информационного противоборства можно наблюдать в оборонной сфере, высшей формой которой являются информационные войны. Не менее остро стоит вопрос информационного противоборства и на уровне организаций, отдельных граждан. Об этом свидетельствуют многочисленные попытки криминальных элементов получить контроль над компьютерными технологиями для извлечения материальной выгоды.

Важно также обеспечить конституционные права граждан на получение достоверной информации, на ее использование в интересах осуществления законной деятельности, а также защиту информации, обеспечивающую личную безопасность.

Объектом защиты информации является компьютерная система или автоматизированная система обработки данных. Компьютерная система – это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Наряду с термином информация применительно к компьютерной системе (КС) часто используют термин данные, а также информационные ресурсы.

Информационная безопасность достигается путем проведения руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности.

Под угрозой безопасности понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целосности, конфиденциальности или доступности информации.

Все множество угроз можно разделить на два класса:

1) Случайные угрозы:

- стихийные бедствия (чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен).

- сбои и отказы технических средств (нарушается работоспособность тех.средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств.

- ошибки при разработке КС (приводят к аналогичным последствиям как при отказе тех.средств. Кроме того, такие ошибки могут быть использованы для воздействия на ресурсы КС).

- алгоритмически и программные ошибки

- ошибки пользователей и обслуживающего персонала

2) Преднамеренные угрозы:

- традиционный шпионаж и диверсии (методы: подслушивание, визуальное наблюдение, поджоги, подкуп и шантаж сотрудников, хищение программ и атрибутов системы защиты, взрывы)

- несанкционированный доступ к информации

- электромагнитные излучения и наводки

- несанкционированная модификация структур.

Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан.

Важно помнить, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.

50. Система менеджмента информационной безопасности (СМИБ):

требования к разработке.

СТБ ISO/IEC 27001-2011.Организация должна разработать, внедрить, обеспечить функционирование, осуществлять мониторинг, анализировать, поддерживать и постоянно улучшать документально оформленную СМИБ в контексте бизнес-деятельности организации и рисков, с которыми она сталкивается.

Организация должна:

a) определить область применения и границы распространения СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, включая подробные сведения и обоснование любых исключений из области применения (см. 1.2);

b) определить политику СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, которая:

1) включает инфраструктуру для постановки целей и устанавливает основные направления и принципы деятельности в области информационной безопасности;

2) принимает во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности;

3) согласуется со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ;

4) разрабатывает критерии для оценивания рисков [см. 4.2.1, перечисление c)];

5) одобрена руководством.

Примечание – В настоящем стандарте политика СМИБ рассматривается как документ более высокого уровня по отношению к политикам информационной безопасности. Эти политики могут быть описаны в одном документе;

c) определить подход к оценке рисков в организации:

1) определять методологию оценки рисков в соответствии с требованиями СМИБ, в том числе требованиями информационной безопасности бизнеса, правовыми и другими обязательными требованиями;

2) разработать критерии принятия рисков и идентифицировать приемлемые уровни риска [см. 5.1, перечисление f)].

Выбранная методология оценки рисков должна обеспечивать сопоставимые и воспроизводимые результаты.

Примечание – Существуют различные методологии оценки рисков. Примеры таких методологий рассмотрены в ISO/IEC TR 13335-3 «Информационные технологии. Руководство по управлению безопасностью информационных технологий. Часть 3. Методы менеджмента безопасности IT»;

d) идентифицировать риски:

1) идентифицировать активы в пределах области применения СМИБ и владельцев данных активов.

Термин «владелец» определяет лицо или логический объект, на которые руководством возложена ответственность за управление созданием, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что данное лицо фактически имеет права собственности на этот актив;

2) идентифицировать угрозы для этих активов;

3) идентифицировать уязвимости, которые могут возникнуть при этих угрозах;

4) идентифицировать последствия для активов, к которым могут привести потеря конфиденциальности, целостности и доступности;

e) анализировать и оценивать риски:

1) провести оценку воздействий бизнеса на организацию, которые могут возникать в результате нарушений безопасности с учетом последствий потери конфиденциальности, целостности или доступности активов;

2) провести оценку реальной вероятности нарушения безопасности с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами, и используемых в настоящее время средств управления;

3) определить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют ли обработки с использованием критериев приемлемости рисков, установленных в 4.2.1, перечисление c)2);

f) идентифицировать и оценивать возможные варианты обработки рисков.

Возможные действия включают:

1) применение соответствующих средств управления;

2) сознательное и объективное принятие рисков при условии, что они полностью удовлетворяют политикам организации и критериям принятия рисков [см. 4.2.1, перечисление c)2)];

3) избежание рисков;

4) передачу соответствующих бизнес-рисков другим сторонам, например страховым компаниям, поставщикам;

g) выбирать цели и средства управления для обработки рисков.

Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков [см. 4.2.1, перечисление c)2)], а также правовые, другие обязательные и контрактные требования.

Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.

Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления.

Примечание – В приложении A содержится полный перечень целей и средств управления, которые в большинстве случаев были определены как характерные для организаций. Пользователи настоящего стандарта должны обращаться к приложению A как к отправной точке для выбора средства управления и обеспечения того, что ни один из основных вариантов средств управления не был упущен;

h) получить одобрение руководства по предлагаемым остаточным рискам;

i) получить санкцию руководства на внедрение и обеспечение функционирования СМИБ;

j) разработать положение о применимости.

Положение о применимости должно включать:

1) цели и средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], и обоснование этого выбора;

2) реализуемые в настоящее время цели и внедряемые средства управления [см. 4.2.1, перечисление e)2)];

3) исключенные цели и средства управления, предусмотренные приложением A, и обоснование их исключения.

51. Система менеджмента информационной безопасности (СМИБ): требования к внедрению и обеспечению функционированию.

СТБ ISO/IEC 27001-2011.

Организация должна:

a) разработать план обработки рисков, в котором идентифицированы соответствующие действия руководства, ресурсы, ответственность и приоритеты в отношении менеджмента рисков информационной безопасности (см. раздел 5);

b) реализовывать план обработки рисков для достижения идентифицированных целей управления, который включает финансирование и распределение ролей и ответственности;

c) внедрить средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], для достижения целей управления;

(g - выбирать цели и средства управления для обработки рисков.

Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков, а также правовые, другие обязательные и контрактные требования.

Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.

Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления).

d) определять способ измерения результативности выбранных средств управления или групп средств управления и установить, как должны будут выполняться данные измерения для оценки результативности средств управления, с целью получения сопоставимых и воспроизводимых результатов [см. 4.2.3, перечисление c)].

Примечание – Измерение результативности средств управления позволяет руководителям и персоналу определить, насколько средства управления позволяют достигать запланированных целей управления;

e) реализовывать программы по подготовке и повышению осведомленности (см. 5.2.2);

f) осуществлять менеджмент функционирования СМИБ;

g) осуществлять менеджмент ресурсов СМИБ (см. 5.2);

h) внедрить процедуры и другие средства управления, позволяющие обеспечить быстрое обнаружение событий и реагирование на инциденты в области безопасности [см. 4.2.3, перечисление a. См. ниже)

a ) выполнять процедуры мониторинга и анализа и применять другие средства управления, для того чтобы:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно идентифицировать неудавшиеся и успешные попытки нарушения и инциденты в области безопасности;

3) предоставить руководству возможность определить, что деятельность по обеспечению безопасности реализуется посредством делегирования полномочий персоналу или внедряется с применением информационных технологий;

4) способствовать обнаружению событий в области безопасности и таким образом предотвращать инциденты в области безопасности посредством использования показателей;

5) определять, являются ли предпринятые действия результативными для устранения нарушений безопасности].

52.Система менеджмента информационной безопасности (СМИБ) — часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

· Plan (планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

· Do (действие) — этап реализации и внедрения соответствующих мер;

· Check (проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами;

· Act (улучшения) — выполнение превентивных и корректирующих действий;

Проблемы, связанные с информационной безопасностью существуют и на сегодняшний день. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO 27001:2005 поможет организации сберечь её активов и обеспечить целостность, надежность и конфиденциальность информации.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанная на управлении бизнес-рисками для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения информационной безопасности.

Стандарт ISO 27001 предъявляет требования к организации любого типа, вне зависимости от её размеров, от сферы деятельности и географической расположенности.