Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Согласно положениям, ISO 27001 система менеджмента информационной безопасности обязана иметь процессный характер, заключающийся в очерёдности операций по планированию процесса, его исполнения и дальнейшего контроля, уже после чего следует модифицирование, заключающееся в плавном пересмотре подходов и актуализации внимания на дальнейшем составлении плана, в последствии чего цикл повторяется.

В соответствии с требованиями стандарта, управление компании обязано установить пределы воздействия систем управления информационной безопасностью. Далее, необходимо выработать политику управления информационной безопасностью, создающую концептуальные свойства бизнес процессов компании, комплекс её активов и используемых информационных технологий. Последующей основной стадией должен быть анализ рисков и подбор способа их обработки, с целью развития общей концепции взглядов по проблемам обеспечения и управления информационной безопасностью в компании. Дальнейшей стадией будет служить обнаружение рисков, в соответствии с предпочитаемым способом, оптимальному для определённой компании. Обнаружение рисков планируется реализовать с помощью создания перечня активов и их владельцев, с целью выявления слабых участков, уязвимости которых имеют все шансы дать толчок для реализации угроз информационной безопасности, в совокупности с выявлением деструктивных действий на эти активы с точки зрения информационной безопасности.

Рисунок 1.1 – Модель взаимосвязей документов, входящих в состав серии о системе менеджмента информационной безопасности

Последующей переходной стадией является анализ обнаруженных рисков и развитие стратегии управлениям ими, заключающейся в:

− изменении характеристик защиты и управления;

− принятии рисков, в случае удовлетворения условиям политики;

− избавление от рисков;

− возложение ответственности за данные риски на другие компании, либо перенос рисков.

В итоге принятия конкретной стратегии управления рисками, в соответствии со стандартами, бесспорно последует понижение степени риска вплоть до приемлемого значения – остаточного риска. Подобным образом, система управления информационной безопасностью компании считается документированной и готовой к внедрению. В соответствии со стандартом ISO 27001 процедура реализации и эксплуатации системы менеджмента информационной безопасности должна заключатся в:

• формулировке плана обработки рисков;

• реализации плана обработки рисков;

• формировании и применении средств управления;

• оценке эффективности принятых средств управления;

• подготовке и осуществлении плана повышения осведомленности персонала;

• управлении деятельностью системы менеджмента информационной безопасности;

• управлении ресурсами системы менеджмента информационной безопасности;

• внедрении в действие систем обнаружения инцидентов информационной безопасности.

Таким образом, вышеописанные шаги считаются процессами планирования и осуществления, уже после которых должны последовать процессы контроля и пересмотра предшествующих операций по улучшению, что и описывает оставшаяся доля документа. Особенное внимание уделяется процессам документирования условий и политик компании в сфере информационной безопасности и их защиты. Кроме того, уделяется большое внимание формализации механизмов реагирования на инциденты информационной безопасности, вместе с повсеместным «управлением записями», что предполагает непрерывное ведение журналов, протоколов и форм разрешения допуска, объединённых с активами и их рисками, так и с процессами обеспечения информационной безопасности компании. Кроме того, нужно выделить значительную концентрацию внимания содержания документа на проблемы улучшения системы менеджмента информационной безопасности. В соответствии с данными акцентами усовершенствование необходимо реализовывать согласно итогам выполнения отдельной процедуры – собственного аудита системы, целью которого считается контроль соответствия системы бизнес условиям, эффективности механизмов управления информационной безопасностью и корректности исполнения функций защиты.

Итогом такого рода операций следует аналитическое решение о способности усовершенствования, добавление, либо видоизменение системы, которое способствует последующему усовершенствованию и формированию системы управления информационной безопасностью. В приложении к стандарту предоставляется список приложений, главная задача каковых – попытка формализованного понятия целей и средств управления информационной безопасностью.

Своего рода логичным продолжением вышеописанного стандарта, считается стандарт ISO 27002. Согласно его сущности, этот стандарт предоставляет наиболее подробное определение мероприятий, показанных в 27001, но усиливающий сферу собственного воздействия вплоть до отражения процессов управления активами, описания очерёдности приема в состав компании и подбора новых работников, с целью исполнения требований по информационной безопасности и последовательности действий в случае прекращения дальнейшего сотрудничества с работниками. Кроме того, отдельный интерес уделен таким нюансам как физической и экологической безопасности, в том числе охране периметра, оборудования, работников от внешних экологических угроз, раскрывая отличительные черты процессов утилизации использованных носителей информации и оборудования, а также их вторичного применения.

Таким образом ISO 27002 формирует свод правил управления информационной безопасностью, последовательно описывая действия, представленные в ISO 27001. Особое внимание стандарта уделяется процедурам управления средствами связи и операций, заключающихся в:

1. формализации процедур эксплуатации информационно-технологичного оборудования организации, включая:

1. фиксирование изменений оборудования;

2. формализацию обязанностей персонала;

3. разделение обязанностей персонала;

4. разграничение средств (разработки, испытаний, эксплуатации);

1. определении механизмов управления предоставления услуг третьим лицам, включая:

1. осуществление предоставления услуг третьим лицам;

2. контроль за процессом предоставления услуг третьим лицам;

3. анализ предоставляемых услуг третьим лицам и способов их предоставления;

4. фиксирование изменений условий предоставления услуг третьим лицам;

1. планировании реализации и исполнения приемки новейших систем, в том числе контроль производительности вводимых систем и развитие методов их приемки;

2. защите от вредоносного программного кода, с помощью описывания элементов и средств предохранения от этих действий;

3. формализации операций и реализации действий резервного копирования данных;

4. формализации правил обращения с машинными носителями данных и способами защиты сетевой инфраструктуры;

5. управление правилами реализации информационного обмена как изнутри, но и при внешнем взаимодействии компании;

6. описании концептуальных основ защиты информации при применении услуг электронной торговли;

7. описании основ ведения ревизорских журналов происшествий и их предотвращений.

Процессы ограничения и управления доступом считаются одними из основных в обеспечении защиты информации. Это в очередной раз демонстрируется одним из более подробно представленных разделов стандарта ISO 27002 – «Управление доступом». В соответствии с положениями стандарта, управление доступом распределено согласно соответствующим логическим составляющим:

а) развитие политики управления доступом в компании, формализующей единый свод мнений и условий для управления доступом пользователей, включая:

1. регистрацию и учет активности пользователей в системе;

2. управление привилегиями пользователей в системе;

3. организацию парольной политики и управление паролями пользователей;

4. исследование функционирующих систем и привилегий пользователей в них;

б) создание единого перечня прав и обязательств пользователей систем компании, в том числе включая базовые основы защиты рабочих мест;

в) регулирование доступа в сетях связи, в том числе:

1. управление внешними соединениями и правилами аутентификации пользователей;

2. защиту удаленных соединений;

3. регулирование сетевой инфраструктуры;

1. управление доступом к операционной системе, в том числе:

1. ограничение времени активности пользователей;

2. введение лимита действия рабочей сессии;

3. систему управления паролями и идентификацией пользователей на рабочих местах;

4. процедуры предоставления безопасности информации на входе в системы компании;

1. регулирование доступа к информации и приложениям, включая базовые основы ограничения доступа к данным и изоляции более значимых систем;

2. формализация основ обрабатывания данных с помощью мобильных устройств.

В заключении документа описывается основной набор шагов по соблюдению условий для организации информационной безопасности при приобретении, разработке и сопровождении информационных систем в компании. Обнаружение и контролирование инцидентов информационной безопасности компании в целом и системе защиты информации в частности. Заключительные главы документа включают крайне пространственные советы в области обеспечения непрерывности бизнеса и значимости систем менеджмента информационной безопасности в этом процессе, а также неглубокое представление операций по контролю соответствия юридическим требованиям и внутренним политикам, и стандартам в области защиты информации, функционирующим в компании.

Подводя результаты исследования международной нормативной документации согласно проблемам управления информационной безопасностью возможно сделать вывод, то что невзирая на существование формализованных основ построения систем управления информационной безопасностью, нечёткость формулировок, упрощённость описания ряда значительных аспектов по проблемам управления информационной безопасностью, а так же недостаток учета особенности деятельности компании, в условиях сегодняшних направленностей развития российских компаний в информационно-телекоммуникационной области, объединяет потребность и рациональность использования положений данных нормативных документов к нулю.

1.2 Обзор Российской нормативно-правовой документации по вопросам обеспечения защиты информации

Невзирая на сравнительно прошлое оживлённое рассмотрение трудностей управления информационной безопасностью в международном обществе, российские специалисты в области обеспечения информационной безопасности только в последние пять лет начали серьезно работать над существующей проблемой. Это связано в первую очередь с особенностью развития информационных технологий в Российской Федерации, которая переживает в данный период резкий подъём. Рост российских информационных технологий шаг за шагом приближается к выходу на мировой уровень [20,28]. В связи с этим обособленные нормативно-правовые документы в области управления информационной безопасностью в Российской Федерации, созданные с учетом нашей особенности, отсутствуют, но в рамках международного партнёрства в нашем государстве функционируют положения ряда международных стандартов из серии ISO о системах менеджмента информационной безопасности.

Эти стандарты были переведены на русский язык и считаются официально действующими стандартам Российской Федерации. Необходимо выделить, то что только несколько документов из серии были введены в действие, что в очередной раз подчеркивает неприемлемость ряда положений серии не только потребностям и взглядам российских органов по стандартизации в сфере информационной безопасности, но и требованиям российского законодательства. Таким образом, в ходе рассмотрения было определено, что отдельно стоящих документов в области управления информационной безопасностью в Российской Федерации нет.

Недостаток законодательных требований по управлению информационной безопасностью в России, вовсе не отменяет требования нормативно-правовых документов в области обеспечения информационной безопасности [32,33,34,35,36,37,38,39,40,41].

К ключевым категориям документов, регламентирующим эти проблемы можно отнести:

• Конституцию Российской Федерации;

• федеральное законодательство в области защиты информации;

• приказы и распоряжения правительства Российской Федерации;

• нормативные документы регуляторов в области защиты информации;

• отраслевые стандарты в сфере обеспечения информационной безопасности.

Необходимо заметить, что в связи с уровнем и содержанием документов, регламентирующих проблемы в области информационной безопасности, они могут носить как необязательный характер, так и строгие требования, за нарушение которых предусмотрена ответственность, в соответствии с законодательством Российской Федерации.

Защита информации, в соответствии с функционирующими нормативно–правовыми документами, разделяется согласно следующим ключевым направлениям – координационная, инженерно-техническая, программная и специализированная. Чаще всего встречающимися мерами в организациях разного рода деятельности в данное время считаются инженерно-технические и специализированные. Более логичным объяснением этого положения вещей может считаться то обстоятельство, которое вплоть до некоторого периода развития информационных технологий в компании такие мероприятия приносят более ощутимые и значимые результаты. Но, почти все забывают то, что при нехватке надлежащих элементов контроля и мониторинга за реализованными мерами мы никак не можем рассуждать о том, в какой степени рационально их использование и какая у них результативность. С учетом проделанного анализа Российской нормативно-правовой документации в области обеспечения защиты информации были обнаружены ключевые направления в формировании требований по защите информации, а именно:

• организация регулируемой зоны;

• установление контрольно-пропускного режима;

• реализация систем мониторинга информационной безопасности в регулируемой зоне;

• установление объектовых и периметровых датчиков и средств защиты;

• организация защиты локальной вычислительной сети;

• организация защищенного межсетевого взаимодействия;

• организация защиты серверов и рабочих станций;

• организация разделения доступа к данным;

• организация защиты помещений, в которых совершается обрабатывание защищаемой информации;

• организация резервирования защищаемой информации и оборудования;

• организация криптографической защиты информации;

• организация работы с защищаемой информацией;

• организация проведения контроля за защитой и процессами обработки информации;

• осуществление протоколирования действий, происходящих внутри компании;

• организация мониторинга и документирования происшествий информационной безопасности;

• организация контроля за отсутствием не декларированных возможностей;

• организация антивирусной защиты;

• регламентация процессов обеспечения защиты информации;

• организация работы с персоналом, исполняющим непосредственную обработку информации и обслуживающего персонала компании.

Этот перечень можно продолжать бесконечно, а в случае детализации любого из направлений, присутствующим в перечне, станут появляться все новые и новые пункты, но ключевые тенденции заметны и так. Большую часть требований вероятнее всего осуществить только лишь с помощью применения технических, программных и специализированных средств защиты информации, но при отсутствии соответствующего уровня контролирования и регламентации осуществления работы этих средств, это считается бесполезной тратой ресурсов. Защита информации считается процессом, требующим комплексного подхода к его осуществлению. Таким образом, мы встречаемся с проблемой неимения надлежащего уровня организационных мер по обеспечению защиты информации и управления информационной безопасностью в организациях разного вида деятельности, что в первую очередь отражается в нехватке конкретных законодательных и нормативных требований, характеризующих проблемы управления информационной безопасностью. Согласно итогам проведённого анализа, Российской нормативно-правовой документации в области обеспечения защиты информации мы можем сделать вывод о несовершенстве имеющейся нормативно-правовой базы и недостаточном соответствии требованиям, действительно нужным механизмам защиты информации в Российской Федерации.

1.3 Выявление основных мероприятий по обеспечению защиты информации

Опираясь на итоги проведённого анализа Российской и международной нормативно-правовой документации [7-20,28,30,32-41,43], в рамках диссертационного исследования были установлены главные направления в сфере обеспечения информационной безопасности в организациях разного рода деятельности. К подобным направлениям в организациях различного рода деятельности принадлежат:

• обеспечение непрерывной деятельности информационных систем и информационно-телекоммуникационных сервисов;

• обеспечение мониторинга, выявления и реагирования на события информационной безопасности;

• обеспечение информационной безопасности на разных стадиях формирования информационных систем, а также сохранение и увеличение жизненных циклов информационных систем компании;

• обеспечение информационной безопасности при осуществлении работы с работниками компании, превышение их квалификации и общей компетенции по проблемам информационной безопасности;

• обеспечение информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими лицами;

• обеспечение оптимального разделения прав доступа к данным и информационным системам пользователей компании, а также дальнейшего контролирования данных процессов.

Эти направления в обеспечении защиты информации считаются ключевыми. Каждая процедура в рамках деятельности по защите информации может быть к ним отнесена, таким образом вводя общую систему классификации деятельности по обеспечению информационной безопасности. Потребность пропорционального развития любого из этих направлений обуславливается их взаимосвязанностью. Недостаток надлежащей степени развития одного из направлений, по сравнению с другими, неизбежно подвергнет к неразумному и слабоэффективному использованию ресурсов системы защиты информации, а кроме того приведёт к денежным потерям компании, не говоря уже об повышении вероятности реализации угроз информационной безопасности и сопутствующему росту степени риска, для активов компании.

Характеристики

Список файлов ВКР