МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||
Поняття політики інформаційної безпеки у інформаційній системі підприємстваФізичне середовище інформаційної системи підприємства Фізичне середовище, що призначене для розміщення, експлуатування, адміністрування Web-порталу підприємства, включає: · приміщення, в яких розташовані сервер і робочі станції з усіма компонентами (ОС, сховища для носіїв інформації та документації, робочі місця обслуговуючого персоналу); · засоби енергопостачання, заземлення, життєзабезпечення та сигналізації приміщення; · допоміжні технічні засоби та засоби зв’язку. Приміщення, де розміщуються компоненти ОС, повинні знаходитися у межах КЗ і мати охорону. Доступ здійснюється у порядку визначеному системою ЗІ та затвердженому власником Web-порталу, або у відповідності до умов, передбачених угодою між власником Web-порталу та оператором (провайдером). Вимоги до засобів енергопостачання, заземлення, життєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв’язку не висуваються. Політика інформаційної безпеки – це пакет документів, який описує і регламентує систему управління інформаційною безпекою інформаційних систем, відповідає вимогам чинного законодавства України та міжнародних угод, базується на рекомендаціях міжнародних стандартів. Такими стандартами є: · ISO/IEC 27002:2005 Інформаційні технології. Методи захисту. Кодекс практики для управління інформаційною безпекою; · ISO/IEC 27003:2010 Інформаційні технології. Методи захисту. Керівництво з застосування системи менеджменту захисту інформації; · ISO/IEC 27004:2009 Інформаційні технології. Методи захисту. Вимірювання; · ISO/IEC 27005:2008 Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки; · ISO/IEC 27006:2007 Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту і сертифікування систем управління інформаційною безпекою Метою політики інформаційної безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів, забезпечення безперервної діяльності ІС підприємства, мінімізування ризиків інформаційної безпеки. Основним завданням впровадження політики інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз. Політика розповсюджується на всі аспекти діяльності ІС та застосовується до всіх інформаційних активів, які можуть справляти матеріальний інтерес для кримінальних структур у разі несанкціонованого витоку. Як основні об’єкти області діяльності інформаційної безпеки, розглядаються наступні види активів: · інформаційні активи: інформація та дані у довільному вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, (до цього виду необхідно віднести знання працівників, бази даних та системи біометричного ідентифікування, документація, навчальні матеріали, описи процедур, інформація на фізичних носіях); · програмне забезпечення: прикладне програмне забезпечення, системне програмне забезпечення, сервісне програмне забезпечення та довільне інше програмне забезпечення, незалежно від форми отримання (придбання, власного розроблення, таке, що вільно розповсюджується), яке використовується працівниками для роботи та у процесі взаємодії з іншими службами; · фізичні активи: працівники, апаратні засоби інформаційних технологій (КМ і мережеві технології, сервери, робочі станції, міжмережеві екрани, телекомунікаційне обладнання, обладнання зв’язку, маршрутизатори, АТС), приміщення, виробниче обладнання, технічні засоби; · сервісні активи: інформаційні та комунікаційні сервіси (корпоративні КМ спеціального призначення, Internet, E-mail, спеціальні канали зв’язку), інші технічні сервіси (опалення, освітлення, системи сигналізацій та моніторингу), усі послуги, пов’язані з отриманням, наданням, використанням, передавання та знищенням активів, усі юридичні та фізичні особи, організації, установи та підприємства (а також їх працівники), яким передані певні послуги на ІТ-утсорсинг. Для кожного активу визначаються можливі ризики та шляхи їх мінімізування, тобто рекомендуємо використати ризик-орієнтований підхід. Оцінювання можливих ризиків активів провадиться за чотирма основними критеріями безпеки: · доступність– забезпечення безперервного доступу до інформаційних та супутніх активів ІС, спеціальних КМ та сервісів згідно з наданими працівникам повноваженнями та правами у мінімально необхідному обсязі; · цілісність – захист точності/коректності та повноти активів і методів оброблення інформації; · конфіденційність – забезпечення доступності до ІС, спеціальних КМ, інформації, активів тільки для офіційно авторизованих працівників та користувачів у мінімально необхідному обсязі. · спостережливість– забезпечення можливості визначення – хто, що і коли робив з тим або іншим інформаційним активом (забезпечення принципу невідмови від вчинених дій). Політика регламентує управління доступами та паролями, чітке розподілення ролей та обов’язків, визначення вимог інформаційної безпеки для кожного активу. Впровадження ПІБ в інформаційні системи забезпечує підтримку рівня безпеки на належному рівні, що свою чергу передбачає: · постійне навчання працівників у сфері інформаційної безпеки; · проведення контролю безпеки та доступу до ІС; · управління інцидентами, класифікування та забезпечення конфіденційності інформації; · антивірусний захист, резервне копіювання, ліцензійну чистоту програмного забезпечення, вхідний/вихідний контроль за обміном інформацією у ІС; · забезпечення фізичної безпеки та інших аспектів інформаційної безпеки. Документи ПІБ розробляються підрозділом безпеки ІТ. Постійний контроль впровадження, виконання, вдосконалення та підтримки ПІБ в актуальному стані також лежить на плечах працівників підрозділу безпеки інформаційних технологій. Документи ПІБ доступні працівникам у межах їх повноважень і призначені допомагати у її впровадженні та виконанні. Для зменшення ризиків виникнення інцидентів інформаційної безпеки, пов’язаних з зовнішніми і внутрішніми навмисними та ненавмисними впливами, елементарною необізнаністю працівників необхідно розробити та запровадити систему управління інцидентами інформаційної безпеки, яка є базовою частиною загальної системи управління інформаційною безпекою. СУІБ дозволяє виявляти, враховувати, реагувати й аналізувати події та інциденти інформаційної безпеки. Без реалізування цих процесів неможливо забезпечити рівень захищеності, який є адекватним вимогам сучасних стандартів і галузевих норм. Управління інцидентами, це важливий процес, який забезпечує можливість спочатку виявити інцидент, а потім за допомогою коректно обраних засобів підтримки якомога швидше його вирішити. Основна задача управління інцидентами – якомога швидше відновити нормальну роботу служб і звести до мінімуму негативний вплив інциденту на роботу ІС для підтримки якості і доступності служб на максимально можливому рівні. Нормальною вважається робота служб, що не виходить за рамки угоди про рівень обслуговування. Цілі, які ставлять перед СУІІБ є такими: · відновлення нормальної роботи служб у найкоротші терміни; · зведення до мінімуму впливу інцидентів на функціонування ІС; · забезпечення злагодженого оброблення всіх інцидентів і запитів обслуговування; · зосередження ресурсів підтримки на найбільш важливих напрямах; · надання відомостей, які дозволять оптимізувати процеси підтримки, зменшити кількість інцидентів і запланувати управління. Використовуючи найкращі, перевірені часом напрацювання і вирівнювання ІТ-процесів для оброблення збоїв довільних видів, рішення з управління інцидентами дозволяють використовувати ресурси залежно від пріоритетів оперативної діяльності, управляти рівнями обслуговування, а також краще контролювати роботу ІТ-служб. Для реалізування системи управління інцидентами інформаційної безпеки необхідно виконати такі роботи: · надати ресурси для розроблення та впровадження системи СУІІБ; · здійснити фахову підготованість працівників; · визначити область функціонування системи управління інцидентами; · розробити комплекс процесів СУІІБ; · впровадити процеси СУІІБ та інтегрувати їх з уже функціонуючими процесами, такими як інвентаризування активів, аналіз ризиків та оцінювання ефективності; · розробити архітектуру і комплекс програмно-технічних засобів з автоматизації процесів СУІІБ і моніторингу подій. У результаті проведених робіт буде запроваджена СУІІБ, яка буде розв’язувати наступні задачі: · оперативний моніторинг стану інформаційної безпеки в рамках функціонування ІС; · виявлення, облік, реагування, розслідування та аналіз інцидентів інформаційної безпеки; · інформування вищого керівництва про поточний стан інформаційної безпеки. Таким чином, необхідно реалізувати комплексний підхід щодо розв’язання наступних задач: · виявлення, інформування та облік інцидентів інформаційної безпеки; · реакція на інциденти інформаційної безпеки, включаючи застосування необхідних засобів для запобігання, зменшення і відновлення завданого збитку; · аналіз реалізованих інцидентів, з метою планування превентивних заходів захисту і поліпшення процесу забезпечення інформаційної безпеки в цілому. Для оброблення подій та інцидентів інформаційної безпеки необхідно організувати процес реагування на інциденти. Основними задачами процесу реагування на інциденти інформаційної безпеки є: · забезпечення координації реагування на інцидент; · підтвердження/спростування факту виникнення інциденту; · забезпечення збереження і цілісності доказів виникнення інциденту, створення умов для накопичення і зберігання точної інформації про інциденти, що мали місце, про корисні настанови; · мінімізування порушень порядку роботи і пошкодження даних, відновлення в найкоротші терміни працездатності ІС при її порушенні у результаті інциденту; · мінімізування наслідків порушення конфіденційності, цілісності і доступності інформації у ІС; · створення умов для порушення цивільної або кримінальної справи проти зловмисників; · захист активів ІС; · швидке виявлення та/або попередження подібних інцидентів в майбутньому. Також слід відзначити, що при експлуатуванні систем менеджменту інформаційної безпеки процес управління інцидентами є одним з найважливіших у постачанні даних для аналізу функціонування таких систем, оцінювання ефективності використовуваних заходів, зниження ризиків і планування удосконалення роботи ІС. Читайте також:
|
||||||||
|