Диссертация (1152266), страница 35

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 35)

Тенденции развитиясайтов как учреждений, так и городов направлены на предоставлениеобщественности все больше и больше услуг в электронном виде, поэтому надопомнить о безопасности их осуществления [149; 177; 207; 272; 273].4.4.1. Построение системы управления информационной безопасностьюНеобходимымэлементомсистемыуправленияинформационнымисистемами, системой электронныхгосударственных услуга является его защита отпотери данных.Масштаб и степень защиты данных должны быть адекватны роли,какую они выполняют или будут выполнять в данном офисе государственнойадминистрации. При создании политики безопасности и оценке качества защитыданных нужно пользоваться категорией альтернативных расходов.

Эти расходымогут быть оценены при ответе на следующие вопросы:Что может вызвать финансовые последствия и насколько высоки онимогут быть?В какой степени реализация данного средства безопасности позволитснизить потенциальные убытки?Достаточный ли этот уровень безопасности для уменьшения риска?Является ли стоимость внедрения такого обеспечения приемлемой?Система управления информационной безопасностью ISMS (InformationSecurity Management Systems) является частью полной системы управления,касающейся создания, внедрения, эксплуатации, мониторинга, сохранения иулучшения безопасности информации (PN-I-07799-2:2005).Защита информации не должна быть основана на индивидуальныхрешениях, но ее следует рассматривать с точки зрения системы управления наоснове оценки рисков.

Эту возможность дают новые международные стандартыISO 27001:2005 и ISO 17799:2005. Первый содержит требования, касающиесясоздания, внедрения, эксплуатации, мониторинга, обзора, поддерживания и208улучшения ISMS и является основой сертификации этой системы. Второй служитв качестве руководства, обеспечивая набор лучших практик для сохранения иулучшениясистемыуправленияинформационнойбезопасностью,ISMS.Стандарт ISO/IEC 27001 сменил самый популярный для ISMS - стандарт BS 77992.

[149; 168; 288; 343].Планируй – Plen(Установка ISMS)Сделай – Do(Внедрение и эксплуатация ISMS)Установка политики ISMS, целей, процессов, значимых дляуправления риском и улучшения безопасности информациитак, чтобы получить итоги согласные с общими политикамии целями организацииВнедрение и эксплуатация политики ISMS, обеспечений,процессов и процедурОценка и – там, где имеет применение – измерениепроизводительности процессов в ссылка на политику ISMS,Проверь – Checkцели и практического опыта, а также предоставление отчетов(Мониторинг и осмотр ISMS)руководящим для осмотраВести исправляющие и предупреждающие действия, наоснове итогов внутреннего аудита ISMS, и осмотреДействуй – Act(Поддержание и улучшение ISMS) руководящими или на других важных информациях дляобеспечения непрерывного улучшения ISMSРисунок 4.13 - Интерпретация модели PDCAИсточник: [337]На рисунке 4.14 представлена идея модели и показано, как работает ISMS.Рисунок 4.14 - Модель PDCA управления безопасностью информации ISMSИсточник: [337]209Норма ISO/IEC 27001 использует модель «Планируй - Сделай - Проверь Действуй» PDCA (Plan – Do – Check – Act (рисунок 4.13), которая применяется навсю структуру процессов ISMS.В качестве входных данных система принимает требования безопасностиинформации и ожидания заинтересованных сторон, путем необходимых действийи процессов, система обеспечивает выходные данные безопасности информации,выполняя соответствующие требования и ожидания сторон.К требованиям применения средств защиты, в соответствии с ISO/IEC27001, принадлежат:политика информационной безопасности, которая заставляет руководствоспособствовать безопасности информации, и управления ею в соответствии сбизнес-требованиями и действующим законодательством, а также внутреннимиправилами;организация информационной безопасности:▪внутренняя организация, состоящая в управлении информационнойбезопасностью в организации,▪внешниестороны,ответственныезаподдержаниебезопасностиинформации, принадлежащей данной организации и предоставленных ресурсовобработки информации, с помощью которых обрабатывают, наводят связь иликоторыми управляют внешние стороны;управление активами (Asset Management):▪ответственность за активы, состоящая в достижении и поддержаниинадлежащего уровня защиты активов организации,▪классификация информации, необходимая для получения эффективнойзащиты информации на соответствующем уровне;безопасность персональных ресурсов:▪правильный подбор сотрудников должен привести к тому, чтобыподрядчики и пользователи, представляющие третью сторону, добросовестновыполняли свои обязанности, имели соответствующие квалификации для210назначенных им ролей, что обеспечит устранение риска кражи, нарушения илинеправильного использования оборудования,▪наемные работники, подрядчики и пользователи, представляющие третьюсторону, должны быть осведомлены по поводу угроз безопасности информации,своим обязанностям и институциональной ответственности; во время своейнормальной работы должны быть оборудованы средствами, поддерживающимиполитику организации по безопасности и сводящими к минимуму рискчеловеческих ошибок,▪в случае увольнения или изменения занятости надо обеспечить, чтобысотрудники, подрядчики и пользователи, представляющие третью сторону, ушлииз организации или изменили свое место в организованном порядке;физическая и экологическая безопасность:▪в безопасных районах надо обеспечить защиту от несанкционированногофизическогодоступа, повреждения иливмешательства в штаб-квартиреорганизации и по отношению к информации,▪обеспечение безопасности оборудования путем предотвращения потери,повреждения, кражи или нарушения активов и прекращения деятельностиорганизации;управление системами и сетями:▪внедрение оперативных процедур и диапазонов ответственности с цельюобеспечения надлежащей и безопасной эксплуатации средств обработкиинформации,▪обеспечение эффективного управления услугами, предоставляемымитретьими сторонами, путем внедрения и поддержки соответствующего уровнябезопасностиинформацииипредоставленияуслугсогласноссервиснымсоглашением, заключеннымс третьими лицами,▪планирование и прием систем должны быть сделаны с минимальнымриском аварии систем,▪обеспечение защиты от программ с вредоносным кодом и мобильнымкодом путем защиты интегральности информации и программного обеспечения,211▪резервное копирование для обеспечения интегральности и доступностиинформации, а также средств обработки информации,▪управление безопасностью сетей путем обеспечения защиты информациив сетях и защиты вспомогательной инфраструктуры,▪приобслуживанииносителейинформациинадопозаботитьсяопредотвращении несанкционированного раскрытия, изменения, удаления илиуничтожения активов и образования разрывов в действии бизнеса,▪обмен информацией должен происходить при сохранении безопасностиинформации и программного обеспечения, которыми обмениваются внутриорганизации и с любым внешним субъектом,▪обеспечениебезопасностиэлектронныхуслугиихбезопасногоиспользования,▪обнаружение несанкционированного действия, связанного с обработкойинформации с помощью мониторинга;контроль доступа:▪контроль доступа к информации,▪управления доступом пользователей путем предоставления доступа дляавторизованных пользователей и предотвращения несанкционированного доступак информационным системам,▪предотвращениенарушениябезопасностинесанкционированногоиликражадоступаинформацииипользователей,средствобработкиинформации путем выполнения ответственности пользователями,▪контрольдоступаксетям,охраняющимсетевыеуслугиотохраняющимотнесанкционированного доступа,▪контрольдоступакоперационнымсистемам,несанкционированного доступа к этим системам,▪контроль доступа к программному обеспечению для защиты отнесанкционированного доступа к информации, хранящейся в нем,▪обеспечение безопасности информации в области мобильной обработки ителеработы;212приобретение, развитие и сопровождение информационных систем:▪выполнение требований безопасности информационных систем, длякоторых безопасность должна быть интегральной ее частью,▪защита от ошибок, потерь, несанкционированной модификации илинеправильного использования информации в программных приложениях путемкорректной обработки информации в приложениях,▪криптографическаязащитакакзащитаконфиденциальности,подлинности и интегральности информации криптографическими механизмами,▪обеспечение безопасности системных файлов,▪поддержка безопасности информации и программного обеспечения путемобеспечения безопасности в процессах развития и компьютерного обслуживания,▪снижениерискаврезультатеиспользованияопубликованныхтехнических уязвимостей путем управления ими;управление инцидентами, связанными с безопасностью информации:▪отчетность слабостей и событий, связанных с безопасностью информациив порядке, позволяющем быстрое введение корректирующих действий,▪последовательное и эффективное управление инцидентами, связанными сбезопасностью информации и его совершенствование;безопасность информации в управлении непрерывностью действия,обеспеченная путем предотвращения сбоев в сфере бизнес-деятельности изащиты критически важных бизнес-процессов против крупномасштабных сбоевинформационных систем или катастроф, а также обеспечение возобновленияактивности в требуемое время;совместимость:▪избежаниенарушенийкаких-либоинституциональныхзаписей,обязательств по законам, внутренних регуляций или соглашений, а также какихлибо требований безопасности путем действий в соответствии с положениями,▪обеспечение совместимости систем с соблюдением стандартов иполитикибезопасности,организованнойпутемпроведенияполитики213безопасности в соответствии с институциональными законами и техническимистандартами,▪максимизирование эффективности процесса аудита информационнойсистемы и сведение к минимуму нарушений, связанных с аудитом, иливоздействие на него с помощью соответствующих механизмов для аудита.Управлениебезопасностьюинформациивобластисистемыэлектронныхгосударственных услуг является относительно новым явлением напольском рынке.

Тематика защиты информации в компьютерных системах исетях в иностранной и польской литературе появляется в 90-х годах ХХ века смомента создания сетей и, в частности, появления Интернета [3; 60; 124; 128; 140;151; 136; 162; 207; 236; 235]. Системы управления безопасностью становятся всеболее сложными, а процесс их разработки требует все более крупных финансовыхзатрат. Большое значение уделяется проблемам оценки качества не только самихсистем, но и правильности их разработки и внедрения. Пока еще не полностьюстандартизированныеспособывнедренияобразцовыхсистемуправлениябезопасностью. Отсутствуют стандартизованные методологии выполнения работв полной мере и расследования итоговых оценок аудита, которые совершаютсяпутем отнесения только к примерам хорошей практики. Следует отметить, что досих пор в области политики безопасности не существует элементов дляоптимизации ее операционных расходов.

Характеристики

Список файлов диссертации