Основи менеджменту у сфері захисту інформацією
(Конспект лекцій)
Стандарти менеджменту інформаційної безпеки та їх основні положення
Інформаційна безпека являє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку.
Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 році цей стандарт був признаний міжнародним під назвою "International Standard ISO/IEC 17799. Information technology — Code of practice for information security management".
Стандарт ISO/IEC 17799 — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику і т. ін. в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої — скорочення матеріальних втрат, пов'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.
Структура стандарту дозволяє вибрати ті засоби управління, які мають відношення до конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 1):
політика безпеки [security policy];
організація захисту [organizational security];
класифікація ресурсів та контроль [asset classification and control];
■ безпека персоналу [personnel security];
■ фізична безпека та безпека навколишнього середовища [physical and environmental security];
адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];
керування доступом до системи [system access control];
розробка та супроводження інформаційних систем [system development and maintenance];
планування безперервної роботи організації [business continuing planning];
виконання вимог (відповідність законодавству) [compliance].
У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:
політика з інформаційної безпеки;
розподіл відповідальності за інформаційну безпеку;
освіта та тренінг з інформаційної безпеки;
звітність за інциденти з безпеки;
захист від вірусів;
забезпечення безперервності роботи;
контроль копіювання ліцензованого програмного забезпечення;
захист архівної документації організації;
захист персональних даних;
реалізація політики з інформаційної безпеки.
�
Рис. 1. Структура стандарту ISO/IEC 17799
Як видно, поряд з елементами управління для комп'ютерів та комп'ютерних мереж, стандарт приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам.
Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке "меню", з якого слід вибрати елементи, що можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.
Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, пов'язані з порушенням насту...
