Система управления информационной безопасностью предприятия

У каждой информации своя цена, но и у каждой цены – своя информация.

В. Коняхин

Система управления информационной безопасностью (Information Security Management System) является частью общей системы управления, базирующейся на анализе рисков и предназначенной для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

Основными целями информационной безопасности являются:

  • конфиденциальность информации, т.е. необходимость введения ограничений доступа к данной информации для определенного круга лиц;
  • невозможность несанкционированного доступа к информации, т.е. ознакомления с конфиденциальной информацией посторонних лиц;
  • целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод), которая заключается в ее существовании в неискаженном виде (неизмененном по отношению к некоторому фиксированному ее состоянию);
  • доступность информации, т.е. способность обеспечивать своевременный и беспрепятственный доступ лиц к интересующей их информации;
  • минимизация рисков информационной безопасности путем выполнения компенсационных мероприятий;
  • учет всех процессов, связанных с рисками.

Достижение заданных целей осуществляется в ходе решения следующих задач:

  • • ввода в систему терминов информационной безопасности;
  • • классификации информационных ресурсов предприятия;
  • • определения владельцев процессов, ответственных за информационную безопасность;
  • • разработки спектра рисков информационной безопасности и проведения их экспертных оценок;
  • • определения группы доступа к информационным ресурсам;
  • • разработки системы управления рисками информационной безопасности (методы и их оценка);
  • • составления перечней административных и технических мероприятий для минимизации и компенсации рисков;
  • • осуществления мероприятий информационной безопасности и периодического контроля за состоянием рисков;
  • • обеспечения физической безопасности и безопасности персонала;
  • • разработки требований к информационной системе с точки зрения информационной безопасности;
  • • контроллинга информационной безопасности на предприятии.

Выделяются четыре стадии реализации системы управления информационной безопасностью:

  • 1) формирование политики в области рисков;
  • 2) анализ бизнес-процессов;
  • 3) анализ рисков;
  • 4) формирование целевой концепции.

Формирование политики в области рисков подразумевает определение принципов управления ими для всего предприятия в целом. Эти принципы базируются на целях предприятия, его стратегии, также на требованиях, предъявляемых законом и стандартами в области информационной безопасности. Фактором эффективности системы управления информационной безопасностью является ее построение на базе международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005.

Стандарт ISO/IEC 17799:2005 определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью, а также описывает механизмы определения целей контроля и его средств в следующих областях:

  • • политика безопасности (установление принципов управления и средств обеспечения защиты информации);
  • • управление непрерывностью бизнес-процессов (предотвращение вмешательства в деловые операции и защита процессов обработки информации от последствий серьезных неисправностей или катастроф);
  • • соблюдение правовых норм (исключение нарушений уголовного и гражданского права, установленных законом обязательств, регулятивных или контрактных обязательств, а также требований по безопасности);
  • • организация активов и ресурсов (управление защитой информации внутри организации);
  • • физическая безопасность и безопасность окружающей среды (предотвращение несанкционированного доступа, повреждения и проникновения в служебные помещения или вмешательства в деловую информацию);
  • • классификация и управление активами (выявление и защита информационных активов);
  • • защита персонала (снижение рисков, связанных с ошибкой оператора, кражей, мошенничеством или злоупотреблением оборудованием);
  • • управление доступом (контроль доступа к информации);
  • • управление средствами связи и эксплуатацией оборудования (корректное и безопасное функционирование средств обработки информации);
  • • разработка и обслуживание систем (внедрение средств защиты в информационные системы).

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия, является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация, и разработан в целях обеспечения помощи в выборе эффективных и адекватных средств для его защиты. Применение стандарта ISO/IEC 27001:2005 на предприятии позволяет:

  • • установить требования и цели в области информационной безопасности;
  • • гарантировать уверенность в том, что управление рисками в области информационной безопасности является эффективным, а также то, что деятельность предприятия соответствует законодательству и другим нормативным документам;
  • • реализовать процесс контроля за внедрением системы управления информационной безопасностью;
  • • идентифицировать и отслеживать существующие процессы управления информационной безопасностью;
  • • руководству предприятия определить состояние процессов управления защитой информации;
  • • внутренним и внешним аудиториям установить уровень соответствия политики безопасности регламентам;
  • • обеспечить партнеров и поставщиков соответствующей информацией о стандартах, процедурах и политике предприятия.

Модель системы информационной безопасности предприятия – это совокупность внешних и внутренних факторов, их влияние на состояние информационной безопасности предприятия и обеспечение сохранности ресурсов. На рис. 9.5 приводится модель системы информационной безопасности предприятия, в которой представлены направления воздействия между следующими факторами:

  • • угрозами информационной безопасности, которые характеризуются вероятностью возникновения и реализации;
  • • уязвимостью системы информационной безопасности, влияющей на вероятность реализации угрозы;
  • • рисками, отражающими предполагаемый ущерб в результате реализации угрозы информационной безопасности.

Информация и материальные ресурсы, которые необходимо защищать, называются объектами защиты. К ним относятся:

  • • речевая информация;
  • • информация, хранимая и обрабатываемая посредством средств связи в виде различных носителей;
  • • документы на бумажных носителях;
  • • технические средства связи и информатизации;
  • • помещения, предназначенные для обсуждения, обработки и хранения информации;
  • • информационные системы в целом, включая системы связи;
  • • документация на технические и программные средства связи и информатизации;
  • • программные средства.

Модель системы информационной безопасности предприятия

Рис. 9.5. Модель системы информационной безопасности предприятия

Угрозы, с которыми может столкнуться предприятие, классифицируются по природе их возникновения, т.е. угрозы случайного или преднамеренного характера, и по тому, как они относятся к защищаемому объекту, т.е. внешние и внутренние угрозы.

Источниками внешних угроз являются:

  • • деятельность конкурентов по перехвату важной информации;
  • • преднамеренные действия по разрушению, уничтожению или модификации информации;
  • • непреднамеренные действия сотрудников сторонних организаций, повлекшие за собой отказ в работе элементов системы;
  • • стихийные бедствия и катастрофы, аварии, экстремальные ситуации.

К источникам внутренних угроз относятся:

  • • отсутствие координации деятельности подразделений предприятия в сфере защиты информации;
  • • преднамеренные действия персонала по уничтожению или модификации информации;
  • • непреднамеренные ошибки персонала, отказы технических средств и сбои в информационных системах;
  • • нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации.

Нарушения могут быть нескольких видов.

Организационно-правовые нарушения – нарушения, связанные с отсутствием единой согласованной политики предприятия в сфере защиты информации, невыполнением требований нормативных документов, режимом доступа, хранения и уничтожения информации.

Организационные виды нарушений включают несанкционированное получение доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам, некорректное встраивание средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена.

Под физическими видами нарушений подразумеваются повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержанием носителей информации, их хищение.

К радиоэлектронным видам нарушений относятся внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков, фотографирование мониторов, навязывание ложной информации в локальных вычислительных сетях, передаче данных и линиях связи.

Для противодействия угрозам и пресечения нарушений на предприятиях организуется процесс управления рисками, который является основой системы информационной безопасности предприятия.

Построение эффективной системы информационной безопасности – это комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время.

С точки зрения процессного подхода систему информационной безопасности предприятия можно представить как процесс управления рисками (рис. 9.6), который включает в себя следующие составляющие.

  • 1. Описание бизнес-процессов. Выполняется корректировка и анализ бизнес-процессов. По критериям, которые определяются в ходе формирования политики в области рисков, осуществляется идентификация бизнес-процессов.
  • 2. Сбор рисков. Проводится для выявления степени подверженности предприятия угрозам, которые могут нанести существенный ущерб. Для этого осуществляется анализ его бизнес

процессов и опрос экспертов предметной области. Результатом (выходом) данного процесса считается классификационный перечень всех потенциальных рисков.

Модель процесса управления рисками для системы информационной безопасности

Рис. 9.6. Модель процесса управления рисками для системы информационной безопасности

К стандартным рискам информационной безопасности относятся:

  • • изъятие конфиденциальной информации с локальных мест;
  • • преднамеренное изменение информации с целью уничтожения;
  • • копирование важных документов и передача конкуренту;
  • • незаконное проникновение в корпоративную сеть;
  • • уничтожение по техническим причинам.
  • 3. Оценка рисков. Определяются характеристики рисков и ресурсы информационной системы. Основным результатом (выходом) данного процесса является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации, а дополнительным – перечень рисков, которые не будут отслеживаться на предприятии.

Процесс оценки рисков состоит из следующих шагов:

  • • описание объекта и мер защиты;
  • • идентификация ресурса и определение его количественных показателей;
  • • анализ угроз информационной безопасности;
  • • оценка уязвимостей;
  • • оценка существующих и предполагаемых средств обеспечения информационной безопасности.
  • 4. Планирование мероприятий. Целью планирования мероприятий по минимизации рисков является определение сроков и перечня работ по исключению или минимизации ущерба в случае минимизации риска.

Выделяются следующие виды мероприятий по информационной безопасности:

  • • организационные;
  • • правовые;
  • • организационно-технические;
  • • программные;
  • • инженерно-технические.
  • 5. Реализация мероприятий. Под реализацией мероприятий по минимизации рисков подразумеваются выполнение запланированных работ, контроль качества полученных результатов и сроков. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения.
  • 6. Оценка эффективности. Оценка эффективности системы управления информационной безопасностью – это системный процесс получения и оценки объективных данных о текущем состоянии системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Целями процесса являются:

  • • оценка текущего уровня эффективности системы;
  • • локализация "узких" мест в системе;
  • • оценка соответствия системы предприятия существующим стандартам в области информационной безопасности;
  • • выработка рекомендаций и регламентов по обеспечению безопасности объектов защиты.

Результаты процесса могут использоваться в целях аудита для подготовки предприятия к сертификации по стандарту ISO/ IEC 27001:2005.

 
< Пред   СОДЕРЖАНИЕ     След >