Лекція №13 Захист інформаційних ресурсів на базі міжнародних стандартів iso/iec



Скачати 25,58 Kb.
Дата конвертації11.01.2017
Розмір25,58 Kb.

Лекція №13

  • Захист інформаційних ресурсів на базі міжнародних стандартів ISO/IEC

Наприкінці дев’яностих років, Британський Інститут Стандартів (BSI) розробив національний стандарт, щодо управління інформаційною безпекою, який потім одержав назву BS 7799, або «Старий Британський стандарт».

  • Наприкінці дев’яностих років, Британський Інститут Стандартів (BSI) розробив національний стандарт, щодо управління інформаційною безпекою, який потім одержав назву BS 7799, або «Старий Британський стандарт».
  • При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для ство­рення і реалізації ефективних систем інформаційної безпеки на основі сучасних інформаційних технологій та методів менеджменту.
  • У 2000 р. на базі BS 7799, був розроблений новий стандарт, що визнаний міжна­родним, під назвою "International Standard ISO/IEC 17799 ( Information technology – Code of practice for information security management").

На даний час, сформовано цілий ряд стандартів ISO/IEC з урахуванням їх впровадження у галузь «Інформаційної безпеки» :

  • На даний час, сформовано цілий ряд стандартів ISO/IEC з урахуванням їх впровадження у галузь «Інформаційної безпеки» :
  • ISO/IEC 15408 «Критерії оцінювання безпеки інформаційних технологій», а також стандарти серії 27000 - 27001:2005, 27005:2008, 27006:2007, 27003, 27004, 27007, 27022, 27033.

Стандарт ISO/IEC 17799

  • модель системи менеджменту, яка визначає загальну організацію процесів, класифікацію даних, системи доступу, напрямки планування, відповідальність співробі­тників, використання оцінки ризику і т. ін. в контексті інформаційної безпеки.

  • Основна ідея стандарту – допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: забезпечення надійного захисту інформаційних ресурсів та організація ефективного доступу до даних й процесу їх обробки згідно визначених послуг та вимог.

Основна структура стандарту

  • Зміст стандарту включає наступні розділи:
  • політика безпеки [security policy];
  • організація захисту [organizational security];
  • класифікація ресурсів та контроль [asset classification and control];
  • безпека персоналу [personnel security];
  • фізична безпека та безпека навколишнього середовища [physical and environmental security];
  • адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];
  • управління доступом до системи [system access control];
  • розробка та супроводження інформаційних систем [system development and maintenance];
  • планування безперервної роботи організації [business continuing planning];
  • виконання вимог (відповідність законодавству) [compliance].

У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:

  • У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:
  • політика інформаційної безпеки;
  • розподіл відповідальності за інформаційну безпеку;
  • освіта та тренінг з інформаційної безпеки;
  • звітність за інциденти з безпеки;
  • захист від вірусів;
  • забезпечення безперервності роботи;
  • контроль копіювання ліцензованого програмного забезпечення;
  • захист архівної документації організації;
  • захист персональних даних;
  • реалізація політики з інформаційної безпеки.

Реалізація політики безпеки здійснюється на основі оцінки ризику та ретельно обґрунтовується.

  • Реалізація політики безпеки здійснюється на основі оцінки ризику та ретельно обґрунтовується.
  • Ризик визначається, як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням властивостей інформаційного ресурсу:
  • конфіденційність;
  • цілісність;
  • доступності.

Для одержання сертифіката система менеджменту інформаційної безпеки, підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом.

  • Для одержання сертифіката система менеджменту інформаційної безпеки, підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом.
  • Аудит по ISO 17799 складається з аналізу документації з системи менеджменту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання процедур сертифікації відповідно очікується у зв'язку з розвитком електронної комерції та її послуг.

  • Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання процедур сертифікації відповідно очікується у зв'язку з розвитком електронної комерції та її послуг.
  • Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комерційної діяльності.

Вимоги безпеки ідентифікуються за допомогою методичної оцінки ризиків безпеки

  • Оцінка ризикуце систематичний розгляд:
  • збитку бізнесу, що може з'явитися у результаті порушення безпеки, беручи до уваги можливі наслідки: втрати конфіденційності, цілісності або доступності інформації й інших активів;
  • реальної ймовірності такого порушення, що проявляється у світлі переважаючих загроз й засобів управління, застосовуваних у цей час.

Результати цієї оцінки допоможуть направити й визначити відповідні дії по загальному управлінню компанією й пріоритети по управлінню ризиками інформаційної безпеки по реалізації обраних засобів.

  • Результати цієї оцінки допоможуть направити й визначити відповідні дії по загальному управлінню компанією й пріоритети по управлінню ризиками інформаційної безпеки по реалізації обраних засобів.
  • Важливим є - на періодичній основі виконувати перегляд ризиків безпеки й реалізованих засобів управління з метою:
  • оцінки та введення змін, що стосуються вимог і пріоритетів бізнесу;
  • урахування нових видів загроз й уразливостей системі та послугам;
  • підтвердження, того що засоби управління залишаються ефективними й відповідними.

Перегляд політики безпеки, варто виконувати на різних рівнях глибини роботи компанії, залежно від результатів попередніх оцінок і рівнів, що підлягали змінам.

  • Перегляд політики безпеки, варто виконувати на різних рівнях глибини роботи компанії, залежно від результатів попередніх оцінок і рівнів, що підлягали змінам.
  • Оцінки ризику спочатку виконують на високому загальному рівні для того, щоб визначити пріоритети вкладення ресурсів в області високого ризику, і потім на більше детальному рівні, щоб розглянути специфічні ризики самої системи та її послуг.

Основні заходи забезпечення безпеки інформаційних мереж

  • Забезпечення безпеки інформаційних мереж – запобігання ушкодженню інформаційних активів і переривання дій, пов'язаних з реалізацією безперервного процесу бізнесу. Інформаційні ресурси та засоби обробки, поширення інформації – повинні бути керовані й фізично захищені.

Організація управління доступом

  • Забезпечення управління доступом розробляється і впроваджується з метою реалізації авторизованого доступу до інформаційних ресурсів та їх активів, а також з метою управління діловими процесами з урахуванням вимог політики безпеки й авторизації інформації й користувачів.

Заходи забезпечення конфіденційності

  • Безпека прикладних систем – запобігання втраті, модифікації або неправильному використанню користувальницьких даних у прикладних системах.

Безпека прикладних систем повинна включати:

  • Безпека прикладних систем повинна включати:
  • використання й розміщення в програмному забезпеченні системи функцій – додавання й видалення, з метою виявлення та запобігання змінам у даних;
  • процедури для запобігання впровадженню програмного забезпечення із спотвореними командами, або виконання процедур обробки даних системи після їх ушкодження на етапах попередньої обробки;
  • використання коригувальних програм з метою відновлення інформаційного потоку даних після відмов системи, а також з метою забезпечення подальшої правильної обробки даних.

  • Аутентифікація повідомлень – метод що використовується для виявлення неавторизованих змін або спотворень змісту переданого інформаційного повідомлення.

Аутентифікація повідомлень може включати:

  • Аутентифікація повідомлень може включати:
  • перевірки вірогідності вихідних даних та отримання підтвердження на їх прийняття;
  • одержання та узгодження контрольних підрахунків на всіх етапах обробки даних системи;
  • забезпечення достатньої кількості інформації, щодо визначення достовірності, закінченості, точності і класифікації інформації, що представлена користувачу або наступній системі для подальшої обробки;
  • процедури відповідей системи на зазначені тести з метою підтвердження вихідних даних та їх виходу;
  • визначення обов'язків усього персоналу, залученого в процесі виводу даних.

Управління криптографічними заходами – процес захисту конфіденційності, доступності і цілісності інформації, а також встановлених мережних послуг на базі криптографічних методів та алгоритмів з метою запобігання несанкціонованому втручанню або змінам.

  • Управління криптографічними заходами – процес захисту конфіденційності, доступності і цілісності інформації, а також встановлених мережних послуг на базі криптографічних методів та алгоритмів з метою запобігання несанкціонованому втручанню або змінам.

Політика використання криптографічних методів і засобів повинна включати наступні напрями:

  • Політика використання криптографічних методів і засобів повинна включати наступні напрями:
  • єдиний підхід до використання криптографічних методів і засобів захисту інформаційних ресурсів та послуг у всій організації, включаючи загальні принципи;
  • єдиний підхід до управління ключами, включаючи методи, що мають справу з відновленням зашифрованої інформації у випадку втрати, компрометації або ушкодження ключів;
  • ролі, обов'язки та відповідальність за:
  • реалізацію політики;
  • реалізацію процесу управління ключами;
  • визначення відповідного рівня криптографічного захисту;
  • визначення відповідної оцінки ефективності використання впровадженого рівня криптографічного захисту;
  • єдині стандарти та норми криптографічного захисту, прийняті для ефективної реалізації у всій організації (які рішення використовуються і для яких бізнес-процесів).

Цілісність системного програмного забезпечення

  • Управління цілісністю системного програмного забезпечення – організація захищеного процесу функціонування інформаційної системи, пов'язаного із збереженням достовірності і повноти системного програмного забезпечення та його захистом від несанкціонованих модифікацій.

Управління операційним програмним забезпеченням – процес досягнення мінімуму ризику, щодо руйнування або модифікації операційних систем, який повинен забезпечити:

  • Управління операційним програмним забезпеченням – процес досягнення мінімуму ризику, щодо руйнування або модифікації операційних систем, який повинен забезпечити:
  • відновлення бібліотек операційних програм тільки авторизованим користувачем (бібліотекарем програм);
  • функціонування операційної системи на базі тільки зазначеного програмного продукту;

виконання додаткових програм, тільки після підтвердження успішного тестування з умов, що не були оновлені відповідні бібліотеки джерел програмного забезпечення;

  • виконання додаткових програм, тільки після підтвердження успішного тестування з умов, що не були оновлені відповідні бібліотеки джерел програмного забезпечення;
  • обов’язкову реєстрацію відновлення бібліотек операційних програм в журналі аудита;
  • зберігання попередніх версій програмного забезпечення.

  • Управління доступом до програмних бібліотек вводиться з метою зменшення ризику, щодо можливостей спотворення програмних продуктів системи, а також підтримки строгого контролю доступу до вихідних бібліотек програмного забезпечення.

Управління безперервністю бізнесу

  • Управління безперервністю бізнесу – процес протидії несанкціонованим перериванням дій бізнесу та процес захисту процедур критичних бізнес процесів.


База даних захищена авторським правом ©vaglivo.org 2016
звернутися до адміністрації

    Головна сторінка