Правила управления информационной безопасностью

Правила управления информационной безопасностью

С.И. Игнатенко
эксперт

В СВЯЗИ С РОСТОМ зависимости организаций от информационных систем и сервисов происходит резкое увеличение рисков, связанных с недостаточным уровнем обеспечения безопасности получения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невозможности или значительному затруднению осуществления контроля над обеспечением безопасности информации и ресурсов. Возникает острая необходимость в стандартизации систем и процессов информационной безопасности (ИБ).

Стандарт ISO/IEC 17799 был разработан в 2000 г. Международной организацией по стандартизации и Международной электротехнической комиссией на основе британского стандарта управления информационной безопасностью BS 7799. В течение четырех лет, начиная с 2000 г., наблюдалось нарастание интереса к стандарту ISO/IEC 17799 в России, осуществлялись попытки применения данного стандарта в различных организациях. В соответствии с уведомлениями, опубликованными на сайте Федерального агентства по техническому регулированию и метрологии (http:\\www.gost.ru), с 2005 г. и по настоящее время ведется публичное обсуждение проектов национальных стандартов ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации» и ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования» (разработчик указанных стандартов ФГУ «ГНИИИ ПТЗИ ФСТЭК России»). Таким образом, в конце 2006 г. ожидается принятие двух стандартов в области управления ИБ: ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001, которые рекомендуется использовать для создания системы обеспечения безопасности информации в организации.

Стандарт ISO/IEC 17799 в системе управления ИБ

В соответствии со стандартом ISO/IEC 17799 основное внимание при проектировании и создании эффективной системы безопасности организации уделяется комплексному подходу к управлению И Б, которое должно осуществляться с применением технических и организационных мер, направленных на обеспечение конфиденциальности, целостности и доступности защищаемой информации. Нарушение любого из этих принципов может привести как к незначительным убыткам организации, так и к ее банкротству. С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

  • оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз,а также возможный ущерб);
  • соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
  • формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Оценка рисков должна помочь определить необходимые действия и приоритеты для управления ИБ и для реализации выбранных средств защиты. Процесс оценки рисков и выбора средств защиты может выполняться несколько раз, чтобы охватить различные части организации или отдельные информационные системы. Средства защиты должны выбираться с учетом затрат на реализацию. При этом затраты должны соответствовать степени рисков и потенциальным убыткам при нарушении безопасности. С целью определения необходимого уровня защиты информационных ресурсов должны быть составлены их перечни и проведена классификация информации по уровням конфиденциальности. Кроме технической реализации средств защиты информации на основе результатов оценки рисков и выбранного уровня защиты должны быть разработаны организационные меры обеспечения ИБ, которые должны включать в себя следующие положения:

  • разработка политики ИБ;
  • распределение ответственности;
  • обучение и подготовка персонала;
  • создание отчетов об инцидентах;
  • поддержка непрерывности бизнеса.
  • определение ИБ, ее целей и области действия;
  • общее описание принципов управления ИБ;
  • краткое описание политики безопасности, принципов, стандартов, требований;
  • описание обязанностей, правила распределения ответственности;
  • ссылки на более детальные инструкции и описания правил безопасности.

Практическая организация ИБ

В разделах стандарта ISO/IEC 17799, представленных ниже, приведены практические рекомендации по организации ИБ, которые, как правило, отражаются в политике безопасности организации или в отдельных инструкциях с учетом специфики самой организации.

1.Вопросы безопасности, связанные с персоналом

  • Безопасность при формулировке заданий и наборе сотрудников.
  • Обучение пользователей.
  • Реакция на инциденты и сбои в работе.

2.Физическая безопасность и защита территорий

  • Защищенные территории.
  • Безопасность оборудования.
  • Общие меры.

3.Обеспечение безопасности при эксплуатации

  • Правила работы и обязанности.
  • Планирование разработки и приемка системы.
  • Защита от злонамеренного программного обеспечения.
  • Служебные процедуры.
  • Управление вычислительными сетями.
  • Обращение с носителями и их безопасность.
  • Обмен информацией и программным обеспечением.

4. Контроль доступа

  • Требования к контролю доступа в организации.
  • Управление доступом пользователей.
  • Обязанности пользователей.
  • Контроль доступа к вычислительной сети.
  • Контроль доступа к операционным системам.
  • Контроль доступа к приложениям.
  • Мониторинг доступа и использования системы.
  • Мобильные компьютеры и средства удаленной работы.

5.Разработка и обслуживание систем

  • Требования к безопасности систем.
  • Безопасность в прикладных системах.
  • Криптографические средства.
  • Безопасность системных файлов.
  • Безопасность при разработке и поддержке.

6. Обеспечение непрерывности бизнеса

  • Аспекты обеспечения непрерывности бизнеса.
  • Соответствие требованиям законодательства.
  • Проверка политики безопасности и соответствие техническим требованиям.
  • Рекомендации по аудиту систем.

Требования безопасности информации должны учитываться во всех сферах жизнедеятельности организации, в том числе при формировании и распределении должностных обязанностей. Кроме того, должностные обязанности пользователей информационных ресурсов должны содержать более конкретизированные и расширенные (по сравнению с изложенными в общей политике безопасности организации) требования к обеспечению безопасности информации. Все сотрудники организации должны проходить соответствующую подготовку в области политики безопасности и процедур, принятых в организации с периодической переподготовкой.

Коротко о ГОСТ Р ИСО/МЭК 27001

Стандарт ГОСТ Р ИСО/МЭК 27001, разработанный на основе британского стандарта BS ISO/IEC 27001:2005, является дополнением к ГОСТ Р ИСО/МЭК 17799. Данный стандарт представляет собой модель и требования для создания, внедрения, эксплуатации, сопровождения и совершенствования системы управления ИБ (СУИБ). Вопрос разработки СУИБ и ее внедрения в организации является концептуальным. Как правило, на проектирование и внедрение СУИБ оказывают влияние бизнес цели и потребности организации, вытекающие из них требования безопасности, используемые процессы, а также размер и структура организации. Эти факторы, а также поддерживающие их системы со временем меняются. В связи с этим, реализация СУИБ должна корректироваться в соответствии с изменяющимися потребностями организации. В заключение следует отметить, что положения стандарта ISO/IEC 17799 представляют собой свод рекомендаций по организации комплексной системы ИБ и по разработке политики безопасности организации, которые могут использоваться практически любой организацией. В то же время данный стандарт фактически не содержит конкретных технических или функциональных требований безопасности. Учитывая этот факт, проект ГОСТ Р ИСО/МЭК 27001 может являться логическим дополнением ГОСТ Р ИСО/МЭК 17799. Вполне возможно, что к концу 2006 г. оба стандарта получат статус государственных и у нас появится возможность более детального их анализа.

Комментарии эксперта

С.А. Белов
руководитель стратегических проектов компании Aladdin

ЗАДАЧИ организации и управления являются, безусловно, важнейшими и определяющими в деле обеспечения ИБ. Именно поэтому в стандарте BS ISO/IEC 27001:2005 содержатся требования по безопасности, в то время как стандарт ISO/IEC 17799 носит лишь рекомендательный характер. Сегодня в России имеется значительное число нормативных документов федерального или ведомственного уровня, в которых регламентируются те или иные аспекты управления И Б. Примером таких документов может служить «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Однако эти документы используют различные подходы, терминологию и зачастую в совокупности не покрывают всю область обеспечения ИБ.

Стандарт ГОСТ Р ИСО/МЭК 27001 может послужить той разумной методологической платформой, которая позволит объединить многочисленные правила, инструкции, концепции и представить их как единую систему управления обеспечением ИБ.

Вместе с тем реальная реализация требований данного стандарта может начаться только после разработки и принятия целого ряда методик, особенно в части анализа информационных рисков, определения владельцев ресурсов, аттестации и аудита.

Таким образом, если ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799 получат статус государственных стандартов, это будет очень важным, но только первым шагом на пути внедрения в нашей стране современных подходов к комплексному решению проблем ИБ.

www.itsec.ru

ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ (По материалам СТБ ISO 17799/BS 7799)

Введение

Информация, как и все другие важные для организации активы, должна быть соответствующим образом защищена. Информационная безопасность предназначена для защиты информации от широкого диапазона угроз, чтобы гарантировать деловую непрерывность, минимизировать ущерб и максимизировать прибыль, способствовать развитию бизнеса.

Информация может существовать в разных формах. Она может быть размещена на бумажном носителе, отправлена через почтовое отделение или по электронной почте, может храниться на элек­тронных носителях или демонстрироваться с пленки, а также передаваться при разговоре. Независимо от формы существования информации, способа ее обработки или хранения она должна быть защи­щена. Для этого и предназначена информационная безопасность, которая должна обладать следую­щими свойствами:

а) конфиденциальность: обеспечение доступа к информации только тем авторизованным пользо­вателям, кому он разрешен;

b) целостность: обеспечение точности, полноты информации и методов ее обработки;

c) доступность: обеспечение авторизованным пользователям доступа к информации и связанному с ней ресурсу.

Содержание понятия безопасности

Защита активов связана с деятельностью по предотвращению угроз, классифицируемых в зависимости от характера ущерба, который они могут нанести этим активам. Во внимание должны приниматься все угрозы, но в первую очередь те, которые связаны со случайными и преднамеренными действиями человека. На рис.1. приведены концептуальные понятия безопасности и их взаимосвязь.

Рис.1. Концептуальные понятия безопасности и их взаимосвязь.

В защите активов заинтересованы их собственники (владельцы). Но эти активы представляют интерес и для нарушителей, которые стремятся использовать активы в своих целях, вопреки интересам владельцев. Риск нарушения безопасности — возможность реализации угрозы, которая нанесет ущерб владельцу. Нарушения безопасности обычно включают (но не ограничиваются только этими категориями): несанкционированное раскрытие (потерю конфиденциальности), несанкционированную модификацию (потерю целостности) или несанкционированное лишение доступа к активам (потерю доступности).

Владельцы активов должны проводить анализ риска, т.е. определять угрозы, уязвимые места, возможный ущерб от реализации каждой угрозы и контрмеры. Чтобы выполнялась требуемая владельцем политика безопасности активов, необходимо принять меры по уменьшению числа уязвимых мест, так как нарушители могут их использовать.

Еще до ввода в эксплуатацию системы (продукта) ИТ владелец заинтересован в оценке эффективности мер противодействия угрозам. Результатом такой оценки является заключение о степени гарантии, с которой меры противодействия уменьшают риск для активов. Гарантией называется основание для уверенности в том, что система (продукт) ИТ отвечает задачам безопасности.

Почему информация нуждается в безопасности?

Информация и поддерживающие ее процессы, системы и сети являются ценными производст­венными активами. Конфиденциальность, целостность и доступность информации играют сущест­венную роль для обеспечения конкурентоспособности, потока денежных выплат, прибыли, юридиче­ских прав и имиджа.

Для обеспечения безопасности информационных систем и сетей организациям предстоит проти­востоять большому числу источников угроз безопасности: компьютерное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Источники ущерба, такие как атаки хакеров и атаки, вызывающие отказ в обслуживании, становятся более распространенными и более изощренными.

Зависимость организации от информационных систем и сервисов подразумевает, что органи­зация становится более уязвимой по отношению к угрозам безопасности. Соединение открытых и локальных сетей, распределение информационных ресурсов увеличивают трудность управления доступом. Тенденция к распределенному применению компьютеров ослабляет эффективность цент­рализованного и специального управления.

Ранее во многих информационных системах не была предусмотрена их безопасность. Безопас­ность осуществлялась по техническим каналам, была ограничена и поддерживалась соответству­ющим управлением и процедурами. Необходимо идентифицировать, какое из средств управления требует тщательного проектирования, и обращать внимание на детализацию. Для управления информационной безопасностью необходимо, как минимум, участие всех служащих организации, а также поставщиков, клиентов или акционеров. Могут потребоваться также консультации специали­стов сторонних организаций.

Управление информационной безопасностью обойдется организации значительно дешевле и будет более эффективно, если оно предусмотрено в технических заданиях на стадии проектирования.

Выбор требований безопасности

Очень важно для организации сформулировать требования безопасности. Существуют три основных источника, используемых для формулирования требований безопасности.

Первый источник — результаты оценки рисков безопасности организации. При этом оценивается риск угроз активам и идентифицируются уязвимые места, определяется вероятность возникновения угрозы и ее потенциальное воздействие.

Второй источник — юридические требования, установленные законом, регулирующие договорные отношения организации с ее партнерами, подрядчиками и поставщиками услуг.

Третий источник — определенный набор правил, задач и требований к обработке информации, разработанный организацией для поддержки своего функционирования.

Оценка рисков безопасности

Требования безопасности формулируют по результатам оценки рисков безопасности. Расходы на защиту информации организации должны быть сбалансированы с ущербом, который может быть нанесен производству вследствие отказа системы защиты. Оценка риска может быть проведена как для организации в целом или части ее, так и для отдельных информационных систем, компонентов систем или для услуг, где это реально и необходимо.

Оценка риска — систематический анализ:

a) ущерба в результате отказа системы защиты, включая потенциальные последствия потери конфиденциальности, целостности или доступности информации и других активов;

b) реальной вероятности отказа системы защиты в свете присущих ей уязвимых мест, угроз и средств осуществляемого контроля.

Результаты этой оценки помогут осуществлять соответствующий контроль и определять приори­теты для управления рисками информационной безопасности. Процесс оценки рисков и выбора средств должен быть выполнен неоднократно, чтобы охватить различные части организации или индивидуальных информационных систем.

Важно периодически выполнять анализ рисков информационной безопасности и не упускать существенных аспектов:

а) изменение требований и приоритетов в производственной деятельности организации;

б)определение новых угроз и уязвимых мест;

О способность существующих средств контроля эффективно противостоять новым угрозам.

Анализ рисков должен быть проведен на разных уровнях защиты. Анализ зависит от результатов предварительных оценок риска и приемлемого уровня рисков. Оценки риска проводят сначала на высоком уровне, в зависимости от приоритета ресурса в области высокого риска, а затем на более детальном уровне, обращаясь к отдельным рискам.

Полную версию можно скачать по ссылке.

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

itzashita.ru

ГОСТ Р ИСО 17799-2005 «Информационная технология — Практические правила управления информационной безопасностью»

Год выпуска: 2005

ГОСТ Р ИСО 17799-2005 «Информационная технология — Практические правила управления информационной безопасностью» идентичен международному стандарту ISO/IEC 17799:2000 «Information technology. Code of practice for security management». В основе ISO/IEC 17799:2000 лежит британский стандарт BS 7799-95 Часть 1.

Стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации.

По сути стандарт ISO/IEC 17799:2005 является практическим руководством по созданию системы обеспечения ИБ организации и определяет 133 регулятора ИБ (меры, средства, механизмы, контрмеры), сгруппированные по 11 разделам. Стандарт может стать основой для разработки, например, корпоративной политики безопасности или торгового соглашения между компаниями.

После того, как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации. Имеется множество различных подходов к управлению рисками; в стандарте ГОСТ Р ИСО 17799-2005 приводятся примеры наиболее распространенных методов.

Стандарт ГОСТ Р ИСО 17799-2005 должен расцениваться как отправная точка для разработки руководства под конкретные нужды организации. Поскольку он носит сугубо рекомендательный характер, экспертиза организаций по нему не предусматривается. Сертификация системы информациооной безопасности производится на соответствие стандарту ISO/IEC 27001:2005, который определяет комплекс требований к ИБ (вытекающих из стандарта ISO/IEC 17799) и формирует спецификации для создания, внедрения, эксплуатации, мониторинга, пересмотра, сопровождения и совершенствования системц управления ИБ.

Документы доступны для просмотра только зарегистрированным пользователям.
Предлагаем Вам войти в систему или зарегистрироваться.

Войдите на портал или зарегистрируйтесь для того,
чтобы оценить и прокомментировать данный документ.

www.globalcio.ru

Международный опыт управления информационной безопасностью для российских компаний

Грядущее вступление России во Всемирную торговую организацию определяет насущную потребность в принятии у нас новых международных стандартов серии ГОСТ Р ИСО/МЭК, в том числе в области управления информационной безопасностью, основанных на известном стандарте BS 7799. Разработанный более 11 лет назад стандарт по управлению информационной безопасностью BS 7799 не только стал одним из государственных стандартов Великобритании, но и получил заслуженное признание в международном сообществе.

Стандарт был создан на основе документа PD 0003 «Практические правила управления информационной безопасностью», разработанного Министерством торговли и промышленности Великобритании при участии специалистов ряда ведущих компаний и организаций, таких как Shell UK, Unilever, British Telecommunications, Британского компьютерного общества, Ассоциации британских страховщиков и др.

Согласно замыслу, основной задачей стандарта является разработка инструмента для создания эффективных систем информационной безопасности государственных и коммерческих организаций на основе современных методов менеджмента. В этом нормативном документе содержится исчерпывающий набор подходов к управлению безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в разных странах.

Стандарт состоит из двух частей — BS 7799-1 и BS 7799-2, которые были приняты в 2005 году Международной организацией по стандартизации (кстати, Британский институт стандартов является одним из основателей ISO) и Международной электротехнической комиссией как ISO/IEC 17799 и ISO/IEC 27001 соответственно.

Первая часть стандарта

ISO/IEC 17799 содержит свод правил по управлению информационной безопасностью и используется в качестве критерия для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Этот стандарт не является техническим, поскольку не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. ISO/IEC 17799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. Данный стандарт представлен в форме руководящих принципов и практических рекомендаций.

В его тексте подчеркивается: «Особое внимание следует уделять тому, чтобы заявления о соответствии данному стандарту не вводили в заблуждение относительно уровня защиты информационной системы». Акцентируется также мысль о том, что управление информационной безопасностью — это не набор мер или продуктов по защите информации, а процесс.

Стандарт по своей идее является добровольным, то есть государства, где он адаптирован, не требуют его обязательного выполнения субъектами внутри страны.

Несмотря на это, в большинстве случаев выполнение требований ISO/IEC 17799 выгодно самим компаниям, так как достаточно часто инвесторам и клиентам компании отнюдь небезразлично то, каким образом предприятие обеспечивает информационную безопасность.

В таких случаях соответствие стандарту можно рассматривать как одно из условий договора, контракта или участия в конкурсе или тендере на поставку продуктов или проведения работ.

Такая практика уже существует на рынке, она касается не только соответствующих лицензий, но и сертификатов на саму компанию, ее продукцию, а также документов, полученных ее специалистами. В данном случае на первое место ставятся условия производства продукции или оказания услуг, в частности, их соответствие стандартам серии ISO 9000 (управление качеством продукции и услуг), ISO 27001 (управление информационной безопасностью), ISO 14000 (управление экологической безопасностью), ISO 22000 (управление пищевой безопасностью) и другим (OHSAS 18001, TL 9000, TS 16949).

В функции системы управления информационной безопасностью входит развертывание, осуществление, управление, контроль, мониторинг, поддержка и совершенствование информационной безопасности бизнеса. Важно иметь в виду, что система управления информационной безопасностью может и должна рассматриваться как часть общей интегрированной системы управления,- основанной на анализе бизнес-рисков. В связи с этим полезно помнить общие принципы, характерные для всех систем управления (в том числе безопасности):

Вторая часть стандарта

ISO/IEC 27001 рассматривает аспекты информационной безопасности (ИБ) с точки зрения сертификации или аудита системы на соответствие требованиям этого стандарта. В этом документе указаны условия создания системы управления для проведения ее аудита или сертификации, а также перечислены требования, применительно к которым проводится проверка соответствия. Процесс сертификации на соответствие требованиям стандарта предполагает несколько этапов:

предварительная оценка системы управления ИБ и диагностика;

поддержка действия сертификата.

Организация, решившая провести аудит ИБ, должна привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После того приглашается аккредитованный аудитор.

Многие организации, желающие пройти сертификацию на соответствие требованиям ISO 27001, уже внедрили у себя системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. В таких компаниях аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам и на первоначальном этапе, и при контрольных проверках. Если организация уже имеет сертификаты CMMI, ITIL (ISO/ IEC 20000) или ISO 9000, то создание информационной безопасности, отвечающей требованиям ISO 27001, и ее последующий периодический аудит (или сертификация) окажутся задачами, которые решаются достаточно быстро и требуют относительно небольшого объема ресурсов.

Несмотря на то, что стандарт ISO/ IEC 27001 не предписывает прохождение сертификации (достаточно проведения регулярных внутренних аудитов), большинство организаций все же выбирают сертификацию в качестве способа независимой оценки правильности реализованных мер и их актуальности.

Стоит отметить, что сегодня стандарт используется в трех десятках стран мира: Великобритании, Франции, Германии, Италии, Нидерландах, Канаде, Австралии, Новой Зеландии, скандинавских странах, Корее, Сингапуре, Индии и т. д. Наибольшую популярность этот стандарт приобрел в Японии — на ее долю приходится больше половины (1338 из 2312) всех выданных сертификатов (для сравнения: в Великобритании выдано 230 сертификатов, в Индии — 163). Среди стран бывшего СССР стандарт принят на территории Молдовы и Белоруссии. В настоящее время также ожидается его принятие в качестве стандарта Евросоюза.

Стандарт управления информационной безопасностью, наконец, начал приживаться и в России. Он уже переведен на русский язык, созданы сертифицированные курсы разработчиков стандарта на нашем языке. Стали появляться отраслевые стандарты России, разработанные на основе BS 7799 (в частности, в банковской сфере), а не так давно начался процесс адаптации стандарта на государственном уровне. За последний год сертификацию по стандарту ISO 27001 прошли три российские компании.

Такой интерес отечественных компаний к стандарту оправдан. Вот лишь некоторые преимущества, получаемые от создания системы управления информационной безопасности:

повышение конкурентоспособности организации в своей отрасли;

улучшение имиджа компании в глазах инвесторов и клиентов;

повышение роли и значимости службы информационной безопасности в структуре организации;

улучшение понимания руководством организации задач обеспечения информационной безопасности;

повышение устойчивости бизнеса организации по отношению к угрозам безопасности, в том числе техногенным авариям;

повышение управляемости компании за счет документированных процедур деятельности, внутреннего контроля и оценке эффективности;

повышение внутрикорпоративной культуры и зрелости организации, в том числе благодаря большей удовлетворенности сотрудников от работы, снижению внутренних конфликтов и т. п.;

повышение качества услуг и продуктов компании в части их безопасности (бесперебойности, конфиденциальности и контролируемости);

признание компании на международном уровне.

Особая роль международных стандартов отмечается в отчетах Всемирной торговой организации: сертификация по международным стандартам оценивается в них как основа конкуренции на новых рынках и залог сохранения своих позиций на локальном рынке.

Сертифицированное обучение — важная часть плана внедрения

При разработке данного стандарта предполагалось, что реализация его положений будет доверена специалистам, обладающим необходимой квалификацией и опытом. Практика показывает, что для успешного построения системы информационной безопасности организации решающее значение имеют хорошее понимание требований стандарта, распространение разъяснений к стандарту и политике информационной безопасности среди всех сотрудников и подрядчиков, а также проведение необходимого обучения и тренингов (кстати, это обязательное требование BS 7799-2).

В ходе обучения разработчики стандарта рекомендуют освоить требования стандарта, методику его внедрения (включая анализ рисков, разработку политик и процедур, планов обеспечения непрерывности бизнеса, управления инцидентами, способов решения организационных вопросов, выстраивание взаимосвязей с процессами ITIL и системой управления качеством), а также принципы аудита и контроля эффективности внедренной системы. Разработчики стандарта рекомендуют, как минимум, проводить обучение следующих категорий специалистов организаций, принявших решение о внедрении стандарта: внутренних аудиторов информационных систем, специалистов служб поддержки качества, специалистов по информационной безопасности, аналитиков по рискам информационных систем, специалистов по планированию восстановления после чрезвычайных ситуаций, архитекторов информационных систем. Знания о стандарте желательно получить также руководителям служб автоматизации, безопасности, работникам службы внутреннего контроля и хотя бы в общих чертах — менеджерам высшего звена.

Первые шаги к аудиту и сертификации

Допустим, организация уже обучила несколько своих специалистов и осознала важность стандарта ISO/IEC 27001 для своего бизнеса. Следующим шагом должен стать ознакомительный доклад для руководства, целью которого является получение поддержки будущих работ, а также осознание руководством необходимости таких начинаний.

Далее следует приступить к формированию и обучению проектной команды, которая будет контролировать работы по внедрению стандарта или осуществлять их собственными силами. После желательно провести ознакомительный тренинг для всех сотрудников организации, которых так или иначе охватывает система управления информационной безопасности, а затем приступить к реализации проекта.

www.infosecurity.ru

МЕТОДЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ОРГАНИЗАЦИИ

Одними из приоритетных направлений развития науки, технологий и техники в РФ, основными инструментами государственной политики РФ в области развития отечественных науки и технологий, модернизации и технологического развития российской экономики и повышения ее конкурентоспособности являются «Информационно-телекоммуникационные системы» и «Безопасность и противодействие терроризму». В Указе Президента Российской Федерации от 7 июля 2011 г. № 899 «Об утверждении приоритетных направлений развития науки, технологий и техники в Российской Федерации и перечня технологий Российской Федерации» отмечено, что реализация вышеуказанных приоритетных направлений связана с созданием национальной информационной инфраструктуры, внедрением мероприятий по обеспечению безопасности жизнедеятельности, комплекса технических и технологических решений, направленных на поддержание условий, минимально необходимых для сохранения жизни и здоровья людей при взаимодействии со средой обитания [2, с. 3-5].

Информационная инфраструктура представляет собой совокупность средств и информационных технологий, которые используются для сбора, обработки, хранения и выдачи информации, используемой на предприятии. Развитие способов передачи и преобразования информации, инфраструктуры влечет разработку новых и совершенствование уже существующих методов обеспечения немаловажных мероприятий по защите информации и информационной безопасности организаций. На современном уровне информационная безопасность характеризуется переходом от традиционного рассмотрения защиты информации с точки зрения техники и технологий к широкому пониманию проблемы – внедрение политики, комплекса мер по информационной безопасности. Под этими словами часто понимают мероприятия по защите имеющихся в организации государственных тайн и конфиденциальной информации, сведений ограниченного доступа.

В последнее время в поле зрения администрации всё чаще попадают вопросы не только защиты информации, но и информационного воздействия на технические системы и средства, на сотрудников организации, психику и здоровье личности. Возникают новые проблемы сохранения целостности, доступности и конфиденциальности вновь поступаемой и накапливаемой информации, циркулирующей в локальной и глобальной информационных средах, угрозы внешних атак и потери информации. «Информационная угроза – опасность, содержание которой составляет различная информация, пригодная для использования против технических, военных, социальных объектов с целью изменения их интересов, потребностей, ориентаций в соответствии с целями субъекта воздействия» [1, с. 40]. Для эффективной работы всей организации сотрудникам необходимо иметь беспрепятственный, своевременный доступ определенного круга пользователей к информации, которая хранится в неискаженном виде, сохраняя структуру и содержание в процессе передачи и хранения. Обозначенный круг проблем влечет за собой внедрение комплексной политики безопасности, опирающейся на методы управления информационной безопасностью организации.

Цель работы состояла в кратком рассмотрении методов управления информационной безопасностью в организации.

Методы управления — это совокупность приемов и способов воздействия на управляемый объект для достижения поставленных целей. В системе методов управления информационной безопасностью можно выделить административные, инженерно-технические, правовые, теоретические, экономические и социально-психологические.

Административные методы ориентированы на такие мотивы поведения сотрудников, как осознанная необходимость дисциплины труда и сохранения корпоративных секретов, чувства долга и ответственности за информационную безопасность всей организации, стремление человека трудиться в определённой организации, сохраняя конфиденциальную информацию. При этом на сотрудников может возлагаться материальная ответственность, которая выражается в их обязанности возместить ущерб, причинённый предприятию на котором они работают при разглашении конфиденциальной информации или нанесении ущерба информационной инфраструктуре. Административные методы управления являются мощным рычагом достижения поставленных целей только в тех случаях, когда нужно подчинить весь коллектив и направить его на решение конкретной задачи. Одним из административных методов является наставление (метод однократного применения со стороны руководителя), когда руководитель аргументированно объясняет подчиненным целесообразность введения мер по защите информации. Организационно-административные методы, базирующиеся на власти, дисциплине и ответственности, осуществляются как прямое административное указание и адресуются конкретным лицам, отвечающим за информационную безопасность всего предприятия. При этом устанавливаются правила, регулирующие деятельность подчиненных по соблюдению законов РФ по защите информации, издаются указы и распоряжения, подписанные руководителем организации, разрабатываются рекомендации по организации и совершенствованию политики безопасности. Контроль и надзор за деятельностью сотрудников по обеспечению защиты информации возлагается на руководителей подразделений, отделов и отдельных сотрудников. Организационно-административные методы, включающие рекомендации и разъяснение, отличает от других методов четкая адресность директив, обязательность выполнения распоряжений, приказов и указаний. Невыполнение сотрудниками приказов администрации по информационной безопасности рассматривается как прямое нарушение исполнительской дисциплины и влечет за собой определенные взыскания — предупреждение, штрафы и увольнение.

Наиболее распространенные методы, применяемые в современных организациях — инженерно-технические, которые помогают обеспечить защиту информации от утечки по техническим каналам, разработать и внедрить механизмы защиты информации, обрабатываемой на рабочих местах сотрудников в персональных компьютерах и корпоративных сетях. Инженеры устанавливают на персональные компьютеры сотрудников антивирусные программы, предлагают запретить использование флэш-карт и дисков, ввести ограничения по использованию Интернет и т.п.

Правовые методы защиты информации призваны создать и использовать нормативную базу — федеральные законы и локальные акты отдельных организаций различного рода деятельности.

Теоретические методы предполагают создание моделей управления доступом к информации, описание возможных информационных потоков в системе, что гарантирует выполнение требуемых свойств безопасности и проведение сертификации автоматизированных систем.

Экономическими методами осуществляют материальное стимулирование всего коллектива и отдельных сотрудников, которые строго соблюдают все правила, приказы и требования руководителей по обеспечению информационной безопасности в организации. Дополнительное вознаграждение (премии разовые или квартальные, годовые, памятные подарки) могут получать сотрудники, которые внесли индивидуальный вклад в конечные результаты по обеспечению защиты информации в конкретные периоды времени.

Наиболее тонким инструментом воздействия на сотрудников, образующих социальные группы в организации, являются социально-психологические методы. По масштабам и способам воздействия эти методы можно разделить на две основные группы: социологические, которые направлены на группы людей и их взаимодействие в организации (внешний мир человека) и психологические, которые воздействуют на личность конкретного человека (внутренний мир человека).

Социологические методы позволяют установить назначение и место каждого сотрудника в обеспечении сохранности информации, выявить лидеров и обеспечить их поддержку, связать мотивацию людей с конечными результатами работы по обеспечению информационной безопасности всей организации, обеспечить эффективные коммуникации при обмене опытом и разрешении конфликтов, возникающих при утечке информации, поддерживать корпоративную культуру.

К способам психологического воздействия на отдельную личность относятся убеждение в необходимости внедрения и строгого соблюдения правил политики безопасности, вовлечение в процесс защиты информации, осуждение и порицание при утечки корпоративной информации, требование строго соблюдать законы РФ и приказы администрации, запрещение несанкционированного обмена информацией с другими организациями, рекомендации передавать информацию и тексты статей для открытой печати после рассмотрения на экспертном совете организации.

Одной из мер политики безопасности является возложение на руководителей подразделений и отделов ответственности за утечку конфиденциальной информации и предоставление всем сотрудникам возможности для открытого распространения информации через обязательное прохождение процедуры рассмотрения информации на редакционно-экспертном совете организации с последующим участием в конференциях, симпозиумах и т.п., где можно поделиться полученными результатами работы и информацией. Соблюдение регламента организации ведет к пониманию каждым сотрудником ответственности за свою работу, причастности к полученным результатам и информации, которые важны не только для него, но и для коллектива в целом. Одобрение экспертным советом статей и тезисов, предназначенных для печати и выступления на конференциях, позволяет каждому сотруднику почувствовать свою значимость, получить моральное и, возможно, материальное признание. Опираясь на опыт и знания сотрудников, награждая их грамотами, подарками, премиями, администрация может добиться самоконтроля труда и индивидуального принятия решения о необходимости информационной безопасности, неразглашении корпоративных секретов. Уравновешенное психологическое состояние сотрудника может способствовать повышению производительности и эффективности труда. Усталость, раздражение, апатия наоборот, могут снижать трудовую активность людей и порождать желание продать конфиденциальную информацию, нарушить существующие нормы поведения и правила вопреки коллективному мнению и сложившимся традициям корпоративной культуры.

Рассмотренный комплекс методов управления информационной безопасностью находится в постоянном динамическом равновесии, где каждый компонент органически дополняет другой и игнорирование одного из методов может привести к потере важной информации и негативно отразиться на конкурентоспособности организации.

Политика безопасности, основой которой являются методы управления информационной безопасностью, внедряется поэтапно.

На первом этапе используются административные, инженерно-технические методы, разрабатываются требования, которые включают состав технических средств информационной системы, анализ уязвимых мест, оценку угроз утечки информации и возможных атак, анализ риска и прогнозирование последствий нарушения правил информационной безопасности для организации. На втором этапе на основе экономических, теоретических и правовых методов определяют способы и средства информационной безопасности, защиты информации и техники согласно нормативно-правовым актам, рассчитывают стоимость реализации мероприятий. На третьем этапе, используя административные и социально-психологические методы, принимают управленческие решения принимают локальные нормативно-правовые документы. Комплексное противодействие угрозам и информационным атакам возможно через повышение корпоративной культуры и компьютерной грамотности сотрудников организации, развитие системы подготовки кадров в области обеспечения и реализации политики информационной безопасности.

Таким образом, информатизация, информационные технологии и программное обеспечение, являясь характерной чертой жизни общества и необходимым атрибутом обеспечения деятельности организаций, требуют новых подходов к управлению информацией и информационной безопасностью. От качества и достоверности информации, оперативности ее получения во многом зависят управленческие решения и конкурентоспособность современных организаций. Обеспечение и управление информационной безопасностью — комплексная задача, включающая многоплановый механизм, компонентами которого являются сотрудники организации, техника, электронное оборудование, программное обеспечение и т.д.

Список литературы

  1. Петров В., Петров С. Информационная безопасность России / В. Петров, С. Петров // ОБЖ. Основы безопасности жизни. № 9. 2007. — С.39-41.
  2. Смирнов Ю.Г. Алфавитно-предметный указатель критических технологий / Ю.Г. Смирнов, О.О. Шпак. – М.: ИНИЦ «ПАТЕНТ», 2013 – 128 с .

euroasia-science.ru

Смотрите еще:

  • Пенсия за мужа участника вов Какие льготы имеют вдовы участников ВОВ? Моя мама-вдова участника ВОВ (81 год). Какие льготы положены ей на региональном и федеральном уровнях (Воронежская область)? Может ли она получать пенсию мужа, какая часть пенсии ей положена, […]
  • Закон о гражданской службы рд Закон Республики Дагестан от 12 октября 2005 г. N 32 "О государственной гражданской службе Республики Дагестан" Закон Республики Дагестан от 12 октября 2005 г. N 32 "О государственной гражданской службе Республики Дагестан" (с […]
  • Закона n 2020-1 Закон РФ от 12 декабря 1991 г. N 2020-I "О налоге с имущества, переходящего в порядке наследования или дарения" (с изменениями и дополнениями) (утратил силу) Закон РФ от 12 декабря 1991 г. N 2020-I "О налоге с имущества, переходящего […]
  • О едином учете сообщений о преступлениях Приказ Генеральной прокуратуры РФ, МВД РФ, МЧС РФ, Минюста РФ, ФСБ РФ, Минэкономразвития РФ и Федеральной службы РФ по контролю за оборотом наркотиков от 29 декабря 2005 г. N 39/1070/1021/253/780/353/399 "О едином учете преступлений" […]
  • Кто будет прокурором хмао югры Прокуратура Ханты-Мансийского автономного округа-Югры Руководство БОТВИНКИН ЕВГЕНИЙ БОРИСОВИЧ – прокурор Ханты-Мансийского автономного округа – Югры. Ботвинкин Е.Б. родился в 1965 году в городе Магнитогорске Челябинской области. С […]
  • Приказ о комиссии по ос Примерная форма приказа о создании комиссии по приемке, вводу в эксплуатацию и списанию основных средств (подготовлено экспертами компании "Гарант") Приказо создании комиссии по приемке, вводу в эксплуатацию и списанию основных […]
  • Коэффициент индексации трудовых пенсий Коэффициент индексации трудовых пенсий 1 февраля 2002 года Базовая и страховая часть пенсии индексировались отдельно и по разным правилам Индексация базовой части пенсии производилась с учетом темпов роста инфляции, но «в […]
  • Приказ о гос службе Приказ о гос службе МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ О конкурсе на замещение вакантной должности государственной гражданской службы Министерства связи и массовых коммуникаций Российской Федерации В соответствии с […]