Система управления информационной безопасностью предприятия

 

 

Реферат на тему:

Система управления информационной безопасностью  предприятия

 

Содержание

Введение…………...…………………………………………………………………3

1. Стратегия безопасности ………………………………………………………..4-5

2. Стандарт в области информационной безопасности ………………….……..5-7

3. Модель системы информационной безопасности предприятия ………….....7-8

4. Объекты защиты …………..……………………………………………………...8

5. Виды угроз ……………………………………………..……………………….8-9

6.Виды нарушений …………………………………………………………..…..9-10

7. Методология…………………………….……………………………………10-12

8. Управление рисками…………………………………………………………12-15

Заключение………………………………………………………………………….16

Список использованой литературы..……………….……………………………..17

 

 

 

 

 

 

 

 

 

Введение

      В последние годы многие компании хорошо осознали необходимость управления информационной безопасностью предприятия. Эффективное управление вопросами информационной безопасности приобретает все большее значение для компаний по мере их роста и продвижения на новые рынки товаров и услуг. Клиентам важно знать, что соблюдается конфиденциальность их персональных и деловых данных. Инвесторам необходима уверенность в том, что бизнес и информационные активы компании защищены. Деловые партнеры ожидают, что компания будет функционировать без сбоев, которые могут быть вызваны ошибками в работе информационных систем, умышленными или неумышленными действиями персонала, вредоносным программным обеспечением и другими факторами.

      Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. Как правило, главными препятствиями на пути обеспечения информационной безопасности являются ее невысокая приоритетность при распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т.п.), что способствует развитию тенденции выделять основную часть средств на повышение производительности. При этом нередко вопросы информационной безопасности остаются без внимания.

Выборочная и бессистемная реализация средств безопасности не сможет обеспечить необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации процесс – процесс управления информационной безопасностью предприятия.

1.Стратегия безопасности

Система управления информационной безопасностью (Information Security Management System, ISMS)  - это часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

Наиболее значимой целью  большинства систем информационной безопасности является защита бизнеса  и знаний компании от уничтожения  или утечки. Также одной из основных целей системы информационной безопасности является гарантия имущественных прав и интересов клиентов. В то же время меры по информационной безопасности не должны ограничивать или затруднять процессы обмена знаниями в компании, поскольку это может поставить  под угрозу развитие организации.

Система управления информационной безопасностью должна обеспечивать гарантию достижения таких  целей как обеспечение конфиденциальности критической информации, обеспечение невозможности несанкционированного доступа к критической информации, целостности информации и связанных с ней процессов (создания, ввода, обработки и вывода) и ряда других целей.

Достижение заданных целей  возможно в ходе решения следующих  основных задач, таких как определение  ответственных за информационную безопасность, разработка спектра рисков информационной безопасности и проведение их экспертных оценок, разработка политик и правил доступа к информационным ресурсам, разработка системы управления рисками информационной безопасности, в том числе методы их оценки, контроллинг информационной безопасности на предприятии. Следует отметить, что здесь перечислен не полный список.

Выделяется четыре стадии реализации системы управления информационной безопасностью:

1.      Формирование политики в области рисков.

2.      Анализ бизнес-процессов.

3.      Анализ рисков.

4.      Формирование целевой концепции.

и две стадии дальнейшего  управления рисками:

1.      Отчеты по рискам.

2.      Контроль рисков.

Формирование политики в  области рисков подразумевает определение  принципов управления рисками для  всей компании в целом. Эти принципы базируются на целях компании, ее стратегии, а также на требованиях, предъявляемых  законом и стандартами в области  информационной безопасности. Одним  и ключевых факторов успешности системы  управления информационной безопасностью  предприятия  - это построение ее на базе международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005

2. Стандарт в области информационной безопасности

История стандартов в области  информационной безопасности началась в середине 90-х годов. Британский институт стандартов (BSI) при участии  коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального  британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) - предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в международной  организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел  в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией  данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет  принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена  только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает  требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями  и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств  и обеспечения уверенности потребителей и партнеров организации в  том, что информация защищена должным  образом.

Стандарт может применяться  в большинстве организаций независимо от рода их деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для  системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта.

3.Модель системы  информационной безопасности предприятия

     Основные компоненты модели системы информационной безопасности.

 Рис 1. Модель системы информационной безопасности предприятия

    Представленная на рис. 1. модель информационной безопасности - это совокупность внешних и внутренних факторов и их влияние на состояние информационной безопасности в компании и на обеспечение сохранности ресурсов (материальных или информационных). Прямоугольниками на рисунке представлены внешние и внутренние факторы. Пунктирными стрелками указаны направления управляющего воздействия, а сплошными – естественного.

Рассматриваются такие факторы  как:

      - угрозы информационной безопасности. Они характеризуются вероятностью возникновения и реализации;       

- уязвимости системы информационной безопасности, которые влияют на вероятность реализации угрозы;      

-  убытки, отражающие реальный ущерб в результате реализации угрозы информационной безопасности.      

-  риски, отражающие предполагаемый ущерб организации в результате реализации угрозы информационной безопасности.[1]

4.Объекты защиты

Необходимо четко понимать, что следует защищать от каких угроз. Информация и материальные ресурсы, которые необходимо защищать, называются объектами защиты. К ним относится речевая информация, информация, хранимая и обрабатываемая посредством средств связи и информатизации в виде различных носителей информации, документы на бумажных носителях и т.д.;[2]

5. Виды угроз

Рассмотрим подробнее, с  какими угрозами может столкнуться  современное предприятие и как  может нарушаться его информационная безопасность.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 2. Классификация угроз

 

Угрозы классифицируются по природе возникновения (угрозы случайного или преднамеренного характера) и по тому, как они относятся  к защищаемому объекту (внешние  и внутренние угрозы). На рис. 2 представлена одна из наиболее популярных классификаций  угроз.

6. Виды нарушений

Нарушения могут быть нескольких видов (рис. 3).

 

 

Рис. 3. Виды нарушений 

Организационно-правовые виды нарушений  - это нарушения, связанные отсутствием единой согласованной политики компании в сфере защиты информации, невыполнением требований нормативных документов, нарушением режима доступа, хранением и уничтожения информации.

Информационные  виды   нарушений включают несанкционированное получение полномочий доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам доступа, некорректное применение средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена

Физические виды нарушений включают физическое повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержимым носителей информации, хранящихся в неположенных местах, хищение носителей информации, отказы аппаратных средств и др.

К радиоэлектронным видам нарушений относятся такие нарушения, как внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков,  дистанционная видеозапись (фотографирование) мониторов, компьютерных распечаток, клавиатуры, навязывание ложной информации в локальных вычислительных сетях, сетях передачи данных и линиях связи.

Для противодействия угрозам  и пресечения нарушений на предприятии  целесообразно организовать процесс  управления рисками компании. Данный процесс является ядром системы  информационной безопасности компании и включает такие подпроцессы как

·        сбора рисков;

·        оценки угроз;

·        оценки уязвимостей;

·        оценки убытков;

·        определение порога для управления рисками;

·        реализации мероприятий информационной безопасности;

·        оценки эффективности полученных результатов (процесс аудита).

7. Методология

Построение эффективной  системы управления информационной безопасностью - это не разовый проект, а комплексный процесс, наплавленный на минимизацию внешних и внутренних угроз при учете ограничений  на ресурсы и время.

Для построения эффективной  системы информационной безопасности необходимо первоначально описать  процессы деятельности (рис. 4). Затем  следует определить порог риска - уровень угрозы, при котором  она попадает в процесс управления рисками. Требуется построить такую  систему информационной безопасности, которая обеспечит достижение заданного уровня риска. 

 

Рис. 4. Модель процесса управления рисками для системы информационной безопасности предприятия

С точки зрения процессного  подхода систему информационной безопасности предприятия можно  представить как процесс управления рисками (рис. 4). На данном рисунке прямоугольниками показаны обобщенные процессы верхнего уровня, а стрелками показаны их входы и выходы.