Современные информационные технологии.
Информационная
безопасность.
К.т.н. НАУ Чунарьова А.В., Чунарьов А.В.
УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
СУЧАСНИХ ІКСМ НА БАЗІ МІЖНАРОДНИХ
СТАНДАРТІВ
ISO
Вступ
Сучасний етап розвитку інформаційної безпеки потребує
комплексного підходу до розробки та впровадження методів і засобів захисту ресурсів інформаційно-комунікаційних
систем та мереж (ІКСМ), як на технічному, так і на організаційному рівні, тобто
реалізації комплексного процесу. Комплексний процес організації безпеки в першу
чергу повинен включати заходи управління інформаційною безпекою. Зазначений процес забезпечує
механізми та методи, які дозволяють реалізувати комплексну політику
інформаційної безпеки організації ІКСМ. Інформаційна безпека –
реалізація процесу захисту інформації
від широкого діапазону загроз, що здійснюється з метою забезпечення
ефективності та надійності функціонування ІКСМ.
Постановка задачі
Міжнародні
стандарти серії ISO (ISO/IEC 17799, ISO 27001) є основоположними в сфері управління інформаційною безпекою. Вони
представляють собою модель системи
менеджменту, яка визначає загальну організацію процесів, класифікацію даних,
системи доступу, напрямки планування та удосконалення системи безпеки,
відповідальність співробітників і оцінку ризику.
Метою даною статті є аналіз сучасних заходів
управління інформаційної безпеки ІКСМ на базі міжнародних стандартів ISO. Виділення переваг застосування системи управління інформаційної безпеки на
базі міжнародних стандартів серії ISO.
Основна ідея стандарту – забезпечення надійного захисту
інформаційних ресурсів ІКСМ та забезпечити організацію ефективного доступу до
даних й процесу їх обробки згідно визначених послуг. Створити систему
менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат,
зв'язаних з порушенням безперервності функціонування.
Заходи управління інформаційної безпеки
Сучасні ІКСМ уразливі до ряду мережних загроз, які
можуть бути результатом реалізації несанкціонованого доступу, а також
розкриття, викривлення або модифікації інформації. Щоб захистити сучасні
інформаційні ресурси та послуги від загроз, необхідно застосовувати відповідні
заходи управління безпекою.
Під управлінням
інформаційної безпеки будемо розуміти циклічний процес, що включає:
постановку задачі захисту інформації; збір та аналіз даних про стан
інформаційної безпеки в ІКСМ; оцінку інформаційних ризиків; планування заходів
з обробки ризиків; реалізацію і впровадження відповідних механізмів контролю;
розподіл ролей і відповідальності; політику безпеки; навчання та мотивацію
персоналу, оперативну роботу по здійсненню захисних заходів; моніторинг (аудит)
функціонування механізмів контролю, оцінку їх ефективності та надійності. Процес
впровадження системи управління інформаційної безпеки включає оцінку поточного
стану інформаційного забезпечення захисту інформації ІКСМ, формування комплексу
заходів щодо забезпечення оптимального рівня на основі оцінки ризиків.
Після ідентифікації вимог безпеки, варто вибирати й
застосовувати заходи управління, таким чином, щоб забезпечувати впевненість у
зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з
безлічі інших документів та заходів управління визначених для даного класу
систем, або можуть бути розроблені, щоб задовольнити потреби компанії
відповідно до обраної політики безпеки.
Згідно з міжнародним стандартом ISO 27001, система управління
інформаційною безпекою – це «частина
загальної системи управління організації, яка заснована на оцінці ризиків, яка
створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і
вдосконалення загальної інформаційної безпеки».
У відповідності з вимогами ISO/IEC 27001
система управління інформаційної безпеки повинна містити такі етапи [1,2] :
1 етап - планування
- фаза створення, створення переліку інформації, оцінки ризиків і вибору
заходів та механізмів захисту;
2 етап - дія -
етап реалізації та впровадження відповідних заходів;
3 етап - перевірка
- фаза оцінки ефективності та надійності функціонування створеної системи.
Проведення внутрішнього аудиту системи, виявлення недоліків.
4 етап - удосконалення
- виконання коригувальних дій по покращенню функціонуванню системи;
При створенні системи управління інформаційної
безпеки потрібно керуватися відповідними заходами. Заходи управління варто
вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження
систем безпеки й зниження ризиків і можливих втрат, якщо відбудеться порушення
безпеки ІКСМ.
Деякі із заходів управління в стандартах та
нормативних документах, можуть розглядатися, як керівні принципи для управління
інформаційною безпекою й можуть бути застосовні для організацій політики
безпеки. Розглянемо заходи управління інформаційної безпеки із законодавчої
точки зору та узагальнені для сучасних ІКСМ [3].
Якщо розглядати заходи управління із законодавчої точки зору, то вони
включають:
– захист
даних і таємність особистої інформації;
– охорону
інформаційних ресурсів організації;
– права
на інтелектуальну власність.
Заходи управління сучасних ІКСМ включають :
-
документи,
що стосується політики інформаційної безпеки ;
-
розподіл обов'язків, пов'язаних з інформаційною
безпекою;
-
структура підрозділів й навчання, пов'язані з інформаційною
безпекою ;
-
повідомлення про інциденти, пов'язаних з безпекою ;
-
управління безперервністю.
Слід зазначити, що: хоча всі заходи управління в
стандартах та нормативних документах є важливими, але застосування якого-небудь
засобу управління повинне відповідати ризикам та можливим загрозам даної ІКСМ.
В загальному випадку система управління безпекою повинна включати (рис.1) :
-
аутентифікацію (користувачів, даних,
додатків, послуг, тощо);
-
авторизацію (авторизований
перелік цін, ключових торговельних документів, партнерів, користувачів,
керівництва);
-
аудит інформаційних ресурсів та послуг.
Рис.1
Базова система управління інформаційної безпеки
Переваги
застосування системи управління інформаційної безпеки на базі міжнародних
стандартів серії ISO:
·
Забезпечення
безперервності.
Від якості застосовуваних новітніх технологій захисту
інформації залежить не тільки збереження в конфіденційних інформації, а й
взагалі існування конкретних інформаційних і телекомунікаційних сервісів,
послуг та програм.
·
Мінімізація ризиків.
Впровадження системи управління інформаційної безпеки
дозволить зменшити інформаційні ризики, розкрадання і неправильне використання
обладнання, пошкодження та порушення роботи інформаційної системи організації
за рахунок розмежування фізичного доступу та впровадження механізму моніторингу
(аудиту) стану інформаційної безпеки. Оцінка та мінімізація ризиків
дозволить ідентифікувати загрози інформаційним ресурсам та послугам, оцінити їх
уразливість й імовірність виникнення загроз, а також можливий руйнівний вплив
при реалізації несанкціонованих доступу.
·
Зниження витрат на
інформаційну безпеку.
Застосування передових технологій зі створення,
моніторингу та поліпшення інформаційної безпеки дозволяє знизити витратну
частину бюджету, що зачіпає забезпечення інформаційної безпеки.
·
Забезпечення
цілісності, конфіденційності та доступності критичних інформаційних ресурсів
ІКСМ.
·
Забезпечення
комплексного та централізованого контролю рівня захисту інформації.
На основі проведеного аналізу сучасних заходів управління інформаційної
безпеки ІКСМ на базі міжнародних стандартів
ISO виділено, що управління безпекою ІКСМ є важливим аспектом забезпечення безпеки властивостей інформаційних
ресурсів та послуг в мережах передачі даних. Для досягнення й підтримки безпеки
в інформаційно-комунікаційних системах та мережах, потрібен визначений діапазон
засобів та заходів управління. В
роботі виділено ряд переваг застосування системи управління інформаційної безпеки на
базі міжнародних стандартів серії ISO в
сучасних ІКСМ
Література
1. ISO/IEC 17799:2005 Information
technology - Security techniques - Code of practice for information security
management
2. ISO/IEC 27001:2005, Information
Security Management - Specification With Guidance for Use
3.
Юдін О.К., Корченко О.Г.,
Конахович Г.Ф. Захист інформації в мережах передачі даних: Підручник. – К.: Вид-во ТОВ
«НВП» ІНТЕРСЕРВІС», 2009. – 716 с.