Менеджменту інформаційної безпеки
| Вид материала | Документы |
- «Система менеджменту інформаційної безпеки», 125.36kb.
- 1 поняття інформаційної безпеки, 376.26kb.
- Політика інформаційної безпеки ат «УкрСиббанк» (зовнішня), 61.8kb.
- Назва модуля: Інформаційно-аналітичне забезпечення безпеки Код модуля, 32.07kb.
- Зміст, 652.34kb.
- Захист інформації та інформаційна безпека, 1784.36kb.
- 1. Менеджмент як наука, мистецтво та практика, 64.03kb.
- Управління та менеджмент. Категорії, закони І принципи менеджменту. Менеджери та підприємці., 96.11kb.
- Управління та менеджмент. Категорії, закони І принципи менеджменту. Менеджери та підприємці., 160.72kb.
- Стаття присвячена проблемі погіршення та недостатньої захищеності інформаційної безпеки, 125.76kb.
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
Система менеджменту інформаційної безпеки
Виконав: ст. гр. УІ-21
Львів – 2010
План
1. Головні визначення
2. Система менеджменту інформаційної безпеки
2.1 Загальні вимоги
2.2 Створення і менеджмент СМІБ
2.2.1 Створення СМІБ
2.2.2 Впровадження і використання СМІБ
2.2.3 Моніторинг і перевірка СМІБ
2.2.4 Підтримка і вдосконалення СМІБ
2.3 Вимоги забезпечення документацією
2.3.1 Загальні стани
2.3.2 Контроль документів
2.3.3 Контроль записів
1. Головні визначення
Система менеджменту інформаційної безпеки (СМИБ) - та частина загальної системи менеджменту, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримці і поліпшенні інформаційної безпеки.
У разі побудови відповідно до вимог ISO/IEC_27001 грунтується на PDCA моделі :
- Plan (Планування) - фаза створення СМИБ, створення переліку активів, оцінки ризиків і вибору заходів;
- Do (Дія) - етап реалізації і впровадження відповідних заходів;
- Check (Перевірка) - фаза оцінки ефективності і продуктивності СМИБ. Зазвичай виконується внутрішніми аудиторами.
- Act (Поліпшення) - виконання превентивних і коригуючих дій.
Поняття інформаційної безпеки
Стандарт ISO 27001 визначає інформаційну безпеку як: "збереження конфіденційності, цілісності і доступності інформації; крім того, можуть бути включені і інші властивості, такі як достовірність, неможливість відмови від авторства, достовірність".
Конфіденційність - забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).
Цілісність - забезпечення точності і повноти інформації, а також методів її обробки.
Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).
2. Система менеджменту інформаційної безпеки
2.1 Загальні вимоги
Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати і удосконалювати документовані положення СМИБ у рамках усієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі цього Міжнародного Стандарту використовуваний процес грунтується на моделі PDCA, показаній на мал. 1.
2.2 Створення і менеджмент СМІБ
2.2.1 Створення СМІБ
Організація повинна зробити наступне.
a) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень яких-небудь положень документу з проекту СМІБ (см.1.2).
b) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, розробити політикові СМИБ яка:
- включає систему постановки цілей (завдань) і встановлює загальний напрям керівництва і принципи дії відносно інформаційної безпеки;
- бере до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання по безпеці;
- приєднана до стратегічного середовища управління ризиком, в якій має місце створення і підтримка СМИБ;
- встановлює критерії, по яких оцінюватиметься ризик (см 4.2.1 с)); і
- затверджена керівництвом.
ПРИМІТКА: В цілях цього Міжнародного Стандарту, політикою СМИБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.
c) Розробити концепцію оцінки ризику в організації.
- Визначити методологію оцінки риска, яка підходить СМИБ, і встановленій діловій інформаційній безпеці, юридичним і регулятивним вимогам.
- Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику (см 5.1f).
Вибрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівнянні і відтворні результати.
ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС/МЭК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджменту IT Безпеки - Методи менеджменту IT Безпеки.
d) Виявити риски.
1) Визначити активи у рамках положень СМИБ, і владельцев2 (2 Термін "власник" ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, застосування і безпеки активів. Термін "власник" не означає, що персона дійсно має які-небудь права власності на актив) цих активів.
2) Виявити небезпеки для цих активів.
- Виявити вразливі місця в системі захисту.
- Виявити дії, які руйнують конфіденційність, цілісність і доступність активів.
e) Проаналізувати і оцінити риски.
- Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів.
- Визначити вірогідність провалу системи безпеки у світлі переважаючих небезпек і уязвимостей, ударів, пов'язаних з активами, і впроваджених нині елементів управління.
- Оцінити рівні ризику.
- Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику, встановлені в 4.2.1с) 2).
f) Виявити і оцінити інструменти для скорочення ризику.
Можливі дії включають:
- Застосування відповідних елементів управління;
- Свідоме і об'єктивне прийняття ризиків, безумовна відповідність, що гарантує їх, вимогам політики організації і критеріям допустимості ризику #002));
- Уникнення ризику; і
- Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.
g) Вибрати завдання і засоби управління для скорочення ризиків.
Завдання і засоби управління мають бути вибрані і впроваджені відповідно до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику #002)), так і юридичні, регулятивні і договірні вимоги.
Завдання і засоби управління з Додатка A мають бути вибрані як частина цього процесу, що відповідають встановленим вимогам.
Т. до. у Додатку А перераховані не усі завдання і засоби управління, то можуть бути вибрані додаткові.
ПРИМІТКА: Додаток А містить усебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити жоден важливий пункт з опцій управління, даним, що користуються, Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.
h) Досягти затвердження управління передбачуваними залишковими рисками.
i) Досягти авторизації управління для функціонування СМІБ.
j) Скласти Декларацію Застосовності
А Декларація Застосовності повинна включати наступне:
- завдання і засоби управління, вибрані в 4.2.1g), і причини їх вибору;
- завдання і засоби управління, діючі нині #002)); і
- виключення яких-небудь завдань і засобів управління з Додатка А і обгрунтування їх виключення.
ПРИМІТКА: Декларація застосовності є зведенням рішень відносно скорочення ризику. Обгрунтування виключень забезпечує повторну перевірку за різними джерелами того, що жодного елементу управління не було упущено.
2.2.2 Впровадження і використання СМІБ
Організація повинна зробити наступне.
a) Сформулювати план скорочення ризику, який визначає відповідні дії, що управляють, ресурси, зобов'язання і пріоритети для управління рисками інформаційної безпеки (см 5).
b) Здійснити план скорочення ризиків для того, щоб досягти встановлених цілей, які включають аналіз фінансування і розподілу ролей і обов'язків.
c) Впровадити засоби управління, вибрані в 4.2.1g), для досягнення поставлених цілей.
d) Визначити, як виміряти ефективність вибраних засобів управління або груп засобів управління, і встановити як ця система заходів повинна використовуватися, щоб оцінити ефективність управління і отримати сумірні і відтворні результати (см 4.2.3с)).
ПРИМІТКА: Оцінка ефективності засобів управління дозволяє менеджерам і штату службовців визначити, наскільки добре засоби управління досягають поставлених цілей.
e) Впровадити повчальні і інформуючі програми (см 5.2.2).
f) Управляти функціонуванням СМІБ.
g) Забезпечити СМИБ трудовими ресурсами (см 5.2)
h) Впровадити методику і інші засоби управління, здатні своєчасно виявити події безпеки і реакцію у відповідь на інциденти безпеки (см 4.2.3а)).
2.2.3 Моніторинг і перевірка СМІБ
Організація повинна зробити наступне.
a) Впровадити правила моніторингу і перевірки і інші засоби управління для того, щоб:
1) своєчасно виявляти помилки в результатах процесу;
2) своєчасно розпізнавати невдалі порушення безпеки і інциденти, що вдалися;
3) задіювати менеджмент, щоб визначити, чи належно виконується робота по безпеці, доручена людям або здійснювана інформаційними технологіями;
4) сприяти виявленню подій безпеки і таким чином, використовуючи певні показники, попереджати інциденти безпеки; і
5) визначити ефективність дій, зроблених для запобігання порушенню безпеки.
b) Проводити регулярні перевірки ефективності СМІБ (включаючи обговорення політики СМИБ і її завдань, перевірку засобів управління безпекою), зважаючи на результати аудитів, інцидентів, результати вимірів ефективності, пропозиції і рекомендації усіх зацікавлених сторін.
c) Оцінити ефективність засобів управління, щоб виявити, чи задоволені вимоги безпеки.
d) Перевірити оцінку ризиків по запланованих періодах і перевірити залишкові риски і допустимі рівні ризиків, приймаючи в уваги зміни в:
1) організації;
2) технології;
3) бизнес-целях і процесах;
4) ідентифікованих погрозах;
5) ефективності впроваджених засобів управління; і
6) зовнішніх подіях, таких як зміни в юридичному і управлінському середовищі, змінені договірні зобов'язання, зміни соціального клімату.
e) Проводити внутрішні аудити СМІБ в заплановані періоди (см 6)
ПРИМІТКА: Внутрішні аудити, іноді звані первинними аудитами, проводяться від імені самої організації в її власних цілях.
f) На регулярній основі проводити перевірку управління СМИБ, щоб переконатися, що положення залишається придатним, а СМИБ удосконалюється.
g) Оновлювати плани безпеки з урахуванням даних, отриманих в результаті моніторингу і перевірки.
h) Записувати дії і події, які можуть вплинути на ефективність або продуктивність СМИБ (см 4.3.3).
2.2.4 Підтримка і вдосконалення СМІБ
Організація повинна постійно робити наступне.
a) Впроваджувати в СМИБ певні виправлення.
b) Робити відповідні заходи, що коригують і превентивні, відповідно до 8.2 і 8.3. Застосовувати знання, накопичені самою організацією і отримані з досвіду інших організацій.
c) Повідомляти про свої дії і вдосконалення усім зацікавленим сторонам в мірі деталізації, що відповідає обстановці; і, відповідно, погоджувати свої дії.
d) Переконатися, що поліпшення досягли наміченої мети.
2.3 Вимоги забезпечення документацією
2.3.1 Загальні стани
Документація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів.
Важливо уміти демонструвати зворотний зв'язок вибраних засобів управління з результатами процесів оцінки ризику і його скорочення, і далі з політикою СМІБ і її цілями.
У документацію СМІБ необхідно включити:
a) документовані формулювання політики і цілей СМИБ (см 4.2.1b));
b) положення СМИБ (см 4.2.1а));
c) концепцію і засоби управління на підтримку СМІБ;
d) опис методології оцінки ризику (см 4.2.1с));
e) звіт про оцінку ризику (см 4.2.1с) - 4.2.1g));
f) план скорочення ризику (см 4.2.2b));
g) документовану концепцію, необхідну організації для забезпечення ефективності планування, функціонування і управління процесами її інформаційної безпеки і опису способів виміру ефективності засобів управління (см 4.2.3с));
h) документи, потрібні цим Міжнародним Стандартом (см 4.3.3); і
i) Твердження про Застосовність.
ПРИМІТКА 1: У рамках цього Міжнародного Стандарту термін "документована концепція" означає, що концепція впроваджена, документована, виконується і дотримується.
ПРИМІТКА 2: Розмір документації СМІБ в різних організаціях може коливатися залежно від:
- - розміру організації і типу її активів; і
- - масштабу і складності вимог безпеки і керованої системи.
ПРИМІТКА 3: Документи і звіти можуть надаватися в будь-якій формі.
2.3.2 Контроль документів
Документи, необхідні СМІБ, необхідно захищати і регулювати. Необхідно затвердити процедуру документації, необхідну для опису управлінських дій з, :
a) встановленню відповідності документів певним нормам до їх публікації;
b) перевірці і оновленню документів як необхідності, переутверждению документів;
c) забезпеченню відповідності змін поточному стану виправлених документів;
d) забезпеченню доступності важливих версій діючих документів;
e) забезпеченню зрозумілості і читабельності документів;
f) забезпеченню доступності документів тим, кому вони потрібні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, вживаних залежно від їх класифікації;
g) встановленню достовірності документів із зовнішніх джерел;
h) контролю поширення документів;
i) попередженню неумисного використання документів, що вийшли із вживання; і
j) застосуванню до них відповідного способу ідентифікації, якщо вони зберігаються просто про всяк випадок.
2.3.3 Контроль записів
Записи повинні створюватися і зберігатися для того, щоб забезпечити підтвердження відповідності вимогам і ефективне функціонування СМИБ. Записи необхідно захищати і перевіряти. СМИБ повинна враховувати будь-які юридичні і регулятивні вимоги і договірні зобов'язання. Записи мають бути зрозумілі, легко идентифицируемы і відновлені. Засоби управління, необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання і знищення записів, мають бути документально затверджені і введені в дію.
У записі необхідно включати інформацію про проведення заходів, описаних в 4.2, і про усі події і значущі для безпеки інциденти, що відносяться до СМИБ.
ПРИКЛАД
Прикладами записів є гостьова книга, протоколи аудиту і заповнені форми авторизації доступу.