Пояснительная записка (1209492), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Результаты, полученные в ходе оценки рисов, упростят определение конкретных мер и приоритетов касательно менеджмента рисков информационной безопасности, а также внедрение мер и средств контроля и управления, выбранных для минимизации и предотвращения этих рисков.

Необходимо повторять оценку рисков с определенной периодичностью, чтобы при появлении изменений найти их и проанализировать, так эти изменения могут повлиять на результаты оценки риска.

Для эффективности оценки рисков информационной безопасности она должна применяться в своей конкретной области и, в случае необходимости, взаимодействовать с оценками рисков в других областях.

Оценка рисков может применяться как для организации в целом, так и для ее подразделений, а также для отдельных информационных систем, компонентов этих систем, или там, где это возможно и полезно.

До того как рассмотреть обработку некоего риска, организации необходимо обозначить критерии определения приемлемости или неприемлемости рисков. Риски могут быть приняты, когда, например, они оцениваются как низкие или затраты на обработку не приемлемы для организации. Такие решения подлежат регистрации.

После оценки рисков, для каждого выявленного риска нужно принимать решение относительно его обработки. Обработка рисков включает:

• использование соответствующих мер и средств контроля и управления для минимизации рисков;

• обдуманное и объективное принятие рисков, однозначно удовлетворяющих политике и критериям организации по принятию рисков;

• предотвращение рисков с помощью запрета действий, выполнение которых может привести к возникновению рисков;

• перенос связанных рисков разделением их с другими сторонами (например, поставщиками).

Меры и средства контроля и управления, которые по решению должны использоваться при обработке определенных рисков, необходимо выбирать и применять так, чтобы они соответствовали требованиям, идентифицированным оценкой рисков. Кроме того, меры и средства контроля и управления должны гарантировать убежденность снижения этих рисков до приемлемого уровня, учитывая следующее:

• цели организации;

• требования и ограничения национальных и международных законов и норм;

• эксплуатационные требования и ограничения;

• затраты на реализацию и эксплуатацию в отношении снижаемых рисков должны всегда быть пропорциональными требованиям и ограничениям организации;

• потребность в поддержке баланса между инвестициями в реализацию и эксплуатацию мер и средств контроля и управления и ущербом, возможным из-за недостаточной безопасности.

Необходимо рассматривать меры и средства контроля и управления информационной безопасности во время спецификации и создания системных и проектных требований. Несоблюдение этого условия приведет к дополнительным расходам и снижению эффективности решений или, в худшем случае, к неспособности достижения адекватной безопасности. Не следует забывать, что никакой набор мер и средств контроля и управления не сможет обеспечить полную безопасность, и что нужно производить дополнительные мероприятия по менеджменту, чтобы проводить анализ, оценку и улучшение действенности и эффективности мер и средств контроля и управления безопасности в целях содействия целям организации.

Понятие, цели и задачи политики информационной безопасности

Внедрение какого-либо средства защиты или осуществление какой-либо совокупности организационных мероприятий не могут в полной мере обеспечить информационную безопасность.

Эффективность будет достигнута при реализации комплекса мер, таких, как ввод в систему добавочных средств защиты, определение организационной структуры организации, разработка нормативной базы обеспечения информационной безопасности в организации, осуществление требуемых организационных мероприятий, которые включают подготовку и просвещение администраторов безопасности, а также разработка плана внедрения и обслуживания систем информатизации и защиты информации.

Для получения нужных результатов все вышеперечисленные меры должны иметь целью обеспечение информационной безопасности. Достижению этой цели служит разработка политики безопасности. Также политика информационной безопасности строится для описания технологии защиты информации конкретной информационной системы. Политика безопасности информации в организации – совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Другое определение подразумевает под политикой информационной безопасности набор правил, норм и практических приемов, регулирующих защиту, управление и распространение важной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, которые направлены на обеспечение безопасности информационного ресурса. Политика в результате предполагает создание высокоуровневого документа, представляющего систематизированное описание задач, целей, принципов и способов обеспечения информационной безопасности. Политика информационной безопасности должна излагать подход организации к управлению информационной безопасностью и предполагать ответственность руководства, а также каждого работника организации.

Между политикой информационной безопасности и развитием компании, ее стратегическим планированием существует тесная связь, она устанавливает общие принципы и порядок обеспечения информационной безопасности на предприятии. Политика информационной безопасности вводится в работу предприятия на всем этапе его существования. Любое решение, которое принимается на предприятии, должно учитывать требования политики.

Эффективно обеспечить требуемый уровень информационной безопасности организации получится только при наличии формализованного и структурированного подхода к выполнению мер по защите информации. Цель разработки политики информационной безопасности организации – создание единой системы взглядов и понимания целей, задач и принципов обеспечения информационной безопасности. Еще одна цель – обеспечить участие руководства организации в решении вопросов информационной безопасности согласно целям деятельности организации (бизнеса), законам и нормативным актам [14].

Рекомендуется при создании политики информационной безопасности отдельно изучать следующие направления защиты информационной системы:

• защита объектов информационной системы;

• защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

• защита процессов, процедур и программ обработки информации;

• подавление побочных электромагнитных излучений;

• управление системой защиты.

Основной задачей политики информационной безопасности является контроль и содействие руководством информационной безопасности согласно требованиям бизнеса, а также соответствующими нормами и законами. Помимо этого политика призвана обеспечить и всегда сохранять:

• целостность и аутентичность информации, которая хранится и обрабатывается в информационной системе и передается по информационно-телекоммуникационной сетям;

• конфиденциальность информации ограниченного доступа и служебной информации, которая хранится, обрабатывается средствами вычислительной и передается по каналам связи;

• доступность хранимой и обрабатываемой информации для правомочных пользователей;

• предоставление обзора требований к информационной безопасности всей системы и к отдельным ее компонентам;

• описание действий над имеющимися подсистемами и планируемые изменения в них для удовлетворения указанным требованиям;

• описание правил поведения и ответственность пользователей, имеющих доступ к системе.

Руководством должен быть определен курс политики, исходя из целей бизнеса, и продемонстрирована заинтересованность и готовность выполнять обязательства касательно информационной безопасности путем создания и поддержания политики информационной безопасности в пределах организации [14].

Заинтересованные сотрудники могут проконсультироваться по вопросам информационной безопасности с контактным лицом, специально выделенным для этого. Необходимо устанавливать контакты со специалистами по безопасности других организаций, дабы оставаться в курсе последних тенденций информационной безопасности, производить мониторинг стандартов и методов оценки, и организовывать адекватную обработку инцидентов информационной безопасности. Под инцидентом информационной безопасности понимается одно или несколько нежелательных или неожиданных событий в системе информационной безопасности, имеющих большую вероятность компрометации деловых операций и ставящих под угрозу защиту информации.

Число подтвержденных инцидентов в сфере информационной безопасности по всему миру в 2013 году выросло на 48 % и составило 42,8 миллиона. Это означает, что в среднем каждый день совершалось 117 339 атак. Если анализировать ситуацию за более длительный период, то с 2009 года общий среднегодовой темп роста числа выявленных инцидентов информационной безопасности ежегодно увеличивался на 66 %. Это подтверждают результаты глобального исследования по вопросам обеспечения информационной безопасности, проведенного фирмой PwC совместно с журналами CIO и CSO. Ответы были получены от более чем 9700 респондентов из 154 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров по информационным технологиям, руководителей служб безопасности, вице-президентов и директоров по вопросам информационных технологий и информационной безопасности. Если в среднем в России в 2013 году на одну крупную организацию приходилось до 100 инцидентов, то в отдельных транспортных и крупных медиакомпаниях эта цифра существенно превышала средние показатели и могла доходить до 1000 инцидентов. Инцидентов, которые респонденты отнесли к критическим, больше всего было в банковском секторе и медиакомпаниях. Чаще всего инцидентами оказываются DoS-атаки (атаки на вычислительную систему с целью довести её до отказа) – им были подвержены 23 % опрошенных компаний, а также хакерские атаки на внешние веб-приложения (21 %). Высоким оказался процент инцидентов, связанных с внутренними причинами: 16 % компаний уведомили об инцидентах, связанных с нарушением правил эксплуатации ИС. Злоупотребления сотрудников привели к видимым инцидентам в 14 % компаний. Получается, что внутренние угрозы в два раза опаснее, чем заражение вредоносным ПО (14 %).

Больше половины компаний (60 %) заверили, что устраняют критические уязвимости в течение нескольких дней. Каждая пятая тратит на этот процесс недели, а у 15 % на устранение выявленных уязвимостей уходят месяцы. Самыми защищенными по праву являются банки. И банковский сектор действительно выглядит наиболее подготовленным к отражению атак. Причиной тому, в частности, внешнее регулирование – Центробанк настаивает на исполнении отраслевых стандартов в области информационной безопасности и ведет статистику инцидентов. К тому же банки уже продолжительное время «воюют» с инцидентами безопасности, а государственные организации вышли на эту арену не так давно.

Помимо того, что политика информационной безопасности должна устанавливать ответственность руководства, она также должна описывать подход организации к менеджменту информационной безопасности, Документ, содержащий политику, должен иметь положения касательно [14]:

• описания планов руководства, которые поддерживают цели и принципы информационной безопасности согласно целям и стратегии предприятия;

• определения целей информационной безопасности и сферы ее действия;

• принципа установления мер и средств контроля и управления, а также целей их применения с учетом структуры оценки риска и менеджмента риска;

• сжатого описания наиболее существенных для организации стандартов, принципов и требований соответствия;

• установления общих обязанностей для всех сотрудников и конкретных обязанностей для каждого сотрудника в рамках менеджмента информационной безопасности, а также уведомление об инцидентах безопасности;

• ссылок на документы, дополняющие политику информационной безопасности;

• упоминания значения безопасности как инструмента для совместного использования информации.

Разработанную политику информационной безопасности необходимо довести до сведения каждого пользователя организации в доступной и понятной форме.

Пересмотр политики информационной безопасности

Политика информационной безопасности подлежит пересмотру через запланированные интервалы времени или в случае значительных изменений. Пересмотр производится с целью обеспечения уверенности в актуальности данной политики, ее адекватности и эффективности [14].

Для политики информационной безопасности назначается владелец, утвержденный руководством в качестве ответственного за разработку, пересмотр и оценку политики безопасности. Пересмотр предусматривает оценку возможностей по улучшению политики информационной безопасности организации и подхода к управлению информационной безопасности в ответ на изменения организационной или технической среды, правовых условий, а также обстоятельств бизнеса.
В случае пересмотра политики информационной безопасности следует брать во внимание результаты пересмотров методов управления. В организации должны функционировать процедуры пересмотра методов управления, в том числе график или период пересмотра. Пересмотр методов управления следует документировать. После пересмотра политика должна утверждаться руководством.

Характеристики

Список файлов ВКР