Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах

РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання

ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"

ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ

Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків

Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні

Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах

Гендерна антидискримінаційна експертиза може зробити нас моральними рабами

ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ

ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів


Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






Поняття політики інформаційної безпеки у інформаційній системі підприємства

Фізичне середовище інформаційної системи підприємства

Фізичне середовище, що призначене для розміщення, експлуатування, адміністрування Web-порталу підприєм­ства, включає:

· приміщення, в яких розташовані сервер і робочі стан­­ції з усіма компонентами (ОС, сховища для носіїв ін­формації та документації, робочі місця обслуговуючого персоналу);

· засоби енергопостачання, заземлення, життєзабезпе­чення та сигналізації приміщення;

· допоміжні технічні засоби та засоби зв’язку.

Приміщення, де розміщуються компоненти ОС, по­вин­ні знаходитися у межах КЗ і мати охо­рону.

Доступ здійснюється у порядку визначеному систе­мою ЗІ та затвердженому власником Web-порталу, або у відповідності до умов, передбачених угодою між власни­ком Web-порталу та оператором (провайдером).

Вимоги до засобів енергопостачання, заземлення, жит­тєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв’язку не висуваються.

Політика інформаційної безпеки – це пакет документів, який описує і регламентує систему управління інформаційною безпекою інформаційних систем, відповідає вимогам чинного законодавства України та міжнародних угод, базується на рекомендаціях міжнародних стандартів. Такими стан­дар­тами є:

· ISO/IEC 27002:2005 Інформаційні технології. Методи захисту. Кодекс практики для управління інформаційною безпекою;

· ISO/IEC 27003:2010 Інформаційні технології. Мето­ди захисту. Керівництво з засто­су­вання системи менеджменту захисту інфор­ма­ції;

· ISO/IEC 27004:2009 Інформаційні технології. Методи захисту. Вимірюван­ня;

· ISO/IEC 27005:2008 Інформаційні технології. Методи забезпечення безпеки. Управ­лін­ня ризиками інформаційної безпеки;

· ISO/IEC 27006:2007 Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту і серти­фікування систем управління інформацій­ною безпекою

Метою політики інформаційної безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів, забезпечення безперервної діяльності ІС підприємства, мінімізування ризиків інформаційної безпеки.

Основним завданням впровадження політики інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз. Політика розповсюджується на всі аспекти діяльності ІС та застосовується до всіх інформаційних активів, які можуть справляти матеріальний інтерес для кримінальних структур у разі несанкціонованого витоку.

Як основні об’єкти області діяльності інформаційної безпеки, розглядаються наступні види активів:

· інформаційні активи: інформація та дані у довільному вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, (до цього виду необхідно віднести знання працівників, бази даних та системи біометричного ідентифікування, документація, навчальні матеріали, описи процедур, інформація на фізичних носіях);

· програмне забезпечення: прикладне програмне забезпечення, системне програмне забезпечення, сервісне програмне забезпечення та довільне інше програмне забезпечення, незалежно від форми отримання (придбання, власного розроблення, таке, що вільно розповсюджується), яке використовується працівниками для роботи та у процесі взаємодії з іншими службами;

· фізичні активи: працівники, апаратні засоби інформаційних технологій (КМ і мережеві технології, сервери, робочі станції, міжмережеві екра­ни, телекомунікаційне обладнання, обладнання зв’язку, маршрутизатори, АТС), приміщення, виробниче обладнання, технічні засоби;

· сервісні активи: інформаційні та комунікаційні сервіси (корпоративні КМ спеціального призначення, Internet, E-mail, спеціальні канали зв’язку), інші технічні сервіси (опалення, освітлення, системи сигналізацій та моніторингу), усі послуги, пов’язані з отриманням, наданням, використанням, передавання та знищенням активів, усі юридичні та фізичні особи, організації, установи та підприємства (а також їх працівники), яким передані певні послуги на ІТ-утсорсинг.

Для кожного активу визначаються можливі ризики та шляхи їх мінімізування, тобто рекомендуємо використати ризик-орієнтований підхід.

Оцінювання можливих ризиків активів провадиться за чотирма основними критеріями безпеки:

· доступність– забезпечення безперервного доступу до інформаційних та супутніх активів ІС, спеціальних КМ та сервісів згідно з наданими працівникам повноваженнями та правами у мінімально необхідному обсязі;

· цілісність – захист точності/коректності та повноти активів і методів оброблення інформації;

· конфіденційність – забезпечення доступності до ІС, спеціальних КМ, інформації, активів тільки для офіційно авторизованих працівників та користувачів у мінімально необхідному обсязі.

· спостережливість– забезпечення можливості визначення – хто, що і коли робив з тим або іншим інформаційним активом (забезпечення принципу невідмови від вчинених дій).

Політика регламентує управління доступами та паролями, чітке розподілення ролей та обов’язків, визначення вимог інформаційної безпеки для кожного активу. Впровадження ПІБ в інформаційні системи забезпечує підтримку рівня безпеки на належному рівні, що свою чергу передбачає:

· постійне навчання працівників у сфері інформаційної безпеки;

· проведення контролю безпеки та доступу до ІС;

· управління інцидентами, класифікування та забезпечення конфіденційності інформації;

· антивірусний захист, резервне копіювання, ліцензійну чистоту програмного забезпечення, вхідний/вихідний контроль за обміном інформацією у ІС;

· забезпечення фізичної безпеки та інших аспектів інформаційної безпеки.

Документи ПІБ розробляються підрозділом безпеки ІТ. Постійний контроль впровадження, виконання, вдосконалення та підтримки ПІБ в актуальному стані також лежить на плечах працівників підрозділу безпеки інформаційних технологій. Документи ПІБ доступні працівникам у межах їх повноважень і призначені допомагати у її впровадженні та виконанні.

Для зменшення ризиків виникнення інцидентів інформаційної безпеки, пов’язаних з зовнішніми і внутрішніми навмисними та ненавмисними впли­вами, елементарною необізнаністю працівників необхідно розробити та запро­вадити систему управління інцидентами інформаційної безпеки, яка є базовою частиною загальної системи управління інформаційною безпекою. СУІБ дозволяє виявляти, враховувати, реагувати й аналізувати події та інциденти інформаційної безпеки. Без реалізування цих процесів неможливо забезпечити рівень захищеності, який є адекватним вимогам сучасних стандартів і галузевих норм.

Управління інцидентами, це важливий процес, який забезпечує можливість спочатку виявити інцидент, а потім за допомогою коректно обраних засобів підтримки якомога швидше його вирішити.

Основна задача управління інцидентами – якомога швидше відновити нормальну роботу служб і звести до мінімуму негативний вплив інциденту на роботу ІС для підтримки якості і доступності служб на максимально мож­ливому рівні. Нормальною вважається робота служб, що не виходить за рамки угоди про рівень обслуговування.

Цілі, які ставлять перед СУІІБ є такими:

· відновлення нормальної роботи служб у найкоротші терміни;

· зведення до мінімуму впливу інцидентів на функціонування ІС;

· забезпечення злагодженого оброблення всіх інцидентів і запитів обслуго­вування;

· зосередження ресурсів підтримки на найбільш важливих напрямах;

· надання відомостей, які дозволять оптимізувати процеси підтримки, зменшити кількість інцидентів і запланувати управління.

Використовуючи найкращі, перевірені часом напрацювання і вирівнювання ІТ-процесів для оброблення збоїв довільних видів, рішення з управ­ління інцидентами дозволяють використовувати ресурси залежно від пріо­ритетів оперативної діяльності, управляти рівнями обслуговування, а також краще контролювати роботу ІТ-служб.

Для реалізування системи управління інцидентами інформаційної безпеки необхідно виконати такі роботи:

· надати ресурси для розроблення та впровадження системи СУІІБ;

· здійснити фахову підготованість працівників;

· визначити область функціонування системи управління інцидентами;

· розробити комплекс процесів СУІІБ;

· впровадити процеси СУІІБ та інтегрувати їх з уже функціонуючими процесами, такими як інвентаризування активів, аналіз ризиків та оціню­вання ефективності;

· розробити архітектуру і комплекс програмно-технічних засобів з автома­тиза­ції процесів СУІІБ і моніторингу подій.

У результаті проведених робіт буде запроваджена СУІІБ, яка буде розв’язу­вати наступні задачі:

· оперативний моніторинг стану інформаційної безпеки в рамках функ­ці­ону­вання ІС;

· виявлення, облік, реагування, розслідування та аналіз інцидентів інформаційної безпеки;

· інформування вищого керівництва про поточний стан інформаційної безпеки.

Таким чином, необхідно реалізувати комплексний підхід щодо роз­в’язання наступних задач:

· виявлення, інформування та облік інцидентів інформаційної безпеки;

· реакція на інциденти інформаційної безпеки, включаючи застосування необхідних засобів для запобігання, зменшення і відновлення завданого збитку;

· аналіз реалізованих інцидентів, з метою планування превентивних заходів захисту і поліпшення процесу забезпечення інформаційної безпеки в цілому.

Для оброблення подій та інцидентів інформаційної безпеки необхідно організувати процес реагування на інциденти. Основними задачами процесу реагування на інциденти інформаційної безпеки є:

· забезпечення координації реагування на інцидент;

· підтвердження/спростування факту виникнення інциденту;

· забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти, що мали місце, про корисні настанови;

· мінімізування порушень порядку роботи і пошкодження даних, відновлення в найкоротші терміни працездатності ІС при її порушенні у результаті інциденту;

· мінімізування наслідків порушення конфіденційності, цілісності і доступності інформації у ІС;

· створення умов для порушення цивільної або кримінальної справи проти зловмисників;

· захист активів ІС;

· швидке виявлення та/або попередження подібних інцидентів в майбутньому.

Також слід відзначити, що при експлуатуванні систем менеджменту інформаційної безпеки процес управління інцидентами є одним з найваж­ли­віших у постачанні даних для аналізу функціонування таких систем, оціню­вання ефек­тивності використовуваних заходів, зниження ризиків і плану­вання удосконалення роботи ІС.

Читайте також:

  1. Cистеми безпеки торговельних підприємств
  2. II. Вимоги безпеки перед початком роботи
  3. II. Вимоги безпеки праці перед початком роботи
  4. II. Поняття соціального процесу.
  5. III. Вимоги безпеки під час виконання роботи
  6. III. Вимоги безпеки під час виконання роботи
  7. IV група- показники надійності підприємства
  8. IV. Вимоги безпеки під час роботи на навчально-дослідній ділянці
  9. IV. Прийняття рішень у полі четвертої інформаційної ситуації
  10. L2.T4/1.Переміщення твердих речовин по території хімічного підприємства.
  11. V. Вимоги безпеки в аварійних ситуаціях
  12. V. Вимоги безпеки в екстремальних ситуаціях



Переглядів: 1730

<== попередня сторінка | наступна сторінка ==>
Середовище користувачів інформаційної системи підприємства | РОБОЧА ЛЕКЦІЯ

Не знайшли потрібну інформацію? Скористайтесь пошуком google:
 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.004 сек.