К.т.н. НАУ Чунарьова А.В., Чунарьов А.В.
Система управління інформаційною
безпекою
Актуальність. Багато
сучасних інформаційних систем не проектуються з урахуванням упровадження
політики та стандартних заходів безпеки. Заходи управління інформаційною
безпекою — значно дешевші й більш ефективні, якщо вони включені в специфікацію
вимог на стадії проектування інформаційної системи з умов реалізації
бізнес-процесів підприємств. Безпека, що може бути досягнута через технічні
засоби, є обмеженою і її варто підтримувати відповідними процесами управління
та жорстко визначеними процедурами. Визначення необхідних засобів управління
потребує ретельного планування й уваги до деталізації бізнес-процесів.
Тому розробка процесу управління інформаційної безпеки є актуальним
питанням при експлуатації захищених інформаційних систем та мереж.
Метою даної статті є розробка сценарію управління ризиками
інформаційного об’єкту корпоративної мережі та блок структурної схеми оцінювання інформаційних ризиків.
Підхід
до управління ризиками інформаційної безпеки є проактивним та здатний допомогти
інформаційним систем організацій різних рівнів та будь-якого розміру у вирішенні проблем, що виникають в процесі
забезпечення відповідності регулятивним нормам забезпечення інформаційної
безпеки. Найбільш значними стандартами інформаційної безпеки у
сфері управляння інформаційної безпеки
є: критерії безпеки комп’ютерних систем, європейські критерії безпеки
інформаційних технологій, федеральні критерії безпеки інформаційних технологій,
канадські критерії безпеки комп’ютерних систем, загальні критерії безпеки
інформаційних технологій та сім’я стандартів ISO. Усі вони визнаються значення
процесу управління ризиками, базові методи та затверджують концепцію процесу створення, впровадження, використання,
моніторингу, перевірки, підтримання та вдосконалення системи захисту
організації.
Для ефективного
функціонування організації доводиться ідентифікувати та управляти багатьма
процесами, а саме процесом управління ризиками інформаційного об’єкту. Процес управління ризиками безпеки дозволяє
організаціям добитися поєднання максимальної економічної ефективності з
відомим та прийнятним рівнем ризику та надає керівникам різних рівнів
зрозумілий метод організації та пріоритезації ресурсів з обмеженим доступом для
реалізації управління ризиками. Реалізація управління ризиками безпеки дозволяє
організаціям з розподіленими корпоративними мережами використовувати економічно
ефективний контроль, що знижує ризик до прийнятного рівня. Визначення
допустимого ризику та підхід до управління ризиками залежать від структури
конкретної інформаційної системи, її розподіленості, оскільки не існує
універсального рішення, а різні організації використовують різні моделі управління
ризиками. Кожна модель пропонує власне поєднання точності, ресурсів, часу,
складності та суб'єктивності. Інвестиції в процес управління ризиками,
заснований на перевіреній концепції та чіткому визначенні ролей та обов'язків.
Крім того, ефективна програма управління ризиками допоможе розподіленим корпоративним мережам забезпечити дотримання
чинних законодавчих вимог по забезпеченню гідного рівня інформаційної безпеки. Оцінювання ризиків організації є первинним етап
при розробці та експлуатації інформаційних систем. Через оцінки ризиків
ідентифікуються загрози активам, оцінюються їх уразливість й імовірність
виникнення загроз, а також можливий руйнівний вплив під час реалізації несанкціонованих
дій. Далі запропоновано сценарій управління ризиками інформаційного
об’єкту (рис. 1).
Запропонований сценарій розрахунку ризиків складається з
наступних базових складових, а саме:
–
визначення методології оцінювання ризику для
інформаційної системи;
–
розроблення критеріїв ухвалення ризиків та
визначати прийнятні рівні ризику;
–
визначення активів;
–
виявлення небезпеки для активів;
–
виявлення вразливих місць в системі захисту;
–
виявлення дій, які порушують конфіденційність, цілісність
та доступність активів;
–
визначення ймовірність провалу системи безпеки
за наявності переважних небезпек та вразливостей;
–
оцінення рівнів ризику;
–
визначення прийнятності ризику або ж вимагати
його скорочення, використовуючи встановлені критерії допустимості ризику;
–
вибір завдань та засобів управління для
скорочення ризиків (завдання та засоби управління мають бути вибрані та
упроваджені відповідно до вимог, встановлених процесом оцінки ризиків та
скорочення ризиків. Цей вибір повинен враховувати як критерії допустимості
ризику, так та юридичні, регулятивні та договірні вимоги).
Рис.1
Сценарій управління інформаційною безпекою підприємства
Впровадження даного сценарію дозволяє підвищити
ефективність та надійність створеної системи захисту інформації на базі
проведення оцінки ризиків, яка визначає загальну організацію, класифікацію
даних, системи доступу, напрями планування, методи забезпечення безпеки,
практичні правила та вимоги, відповідальність співробітників, використання
оцінювання ризику в контексті інформаційної безпеки підприємств.
У процесі впровадження даного сценарію
створюється система менеджменту інформаційної безпеки. Метою створеної системи
менеджменту інформаційної безпеки
скорочення матеріальних утрат, пов’язаних з порушенням інформаційної
безпеки. На основі запропонованого сценарію розроблена блок
структурна схема оцінювання інформаційних ризиків (рис. 2)
Рис.2
Блок структурна схема оцінювання
інформаційних ризиків
Висновок. В даній роботі запропоновано сценарій управління
ризиками інформаційної безпеки та розроблену блок структурну схему оцінювання
інформаційних ризиків корпоративної мережі підприємства.
Література
1.
ISO/IEC 27001:2005, Information technology —
Security techniques — Information security management systems — Requirements.
2.
ISO/IEC 27002:2005, Information technology —
Security techniques — Code of practice for information security management.
3.
Юдін
О.К., Корченко
О.Г., Конахович
Г.Ф. Захист
інформації
в
мережах
передачі
даних: Підручник.
– К.: Видавництво ТОВ НВП «ІНТЕРСЕРВІС», 2009. – 714с., іл.