«Система менеджменту інформаційної безпеки»

Вид материалаРеферат

Содержание


2.2.3 Моніторинг і перевірка СМІБ
Act (Поліпшення)
2. Система менеджменту інформаційної безпеки
2.2 Створення і менеджмент СМІБ
2.2.2 Впровадження і використання СМІБ
2.2.3 Моніторинг і перевірка СМІБ
2.2.4 Підтримка і вдосконалення СМІБ
2.3 Вимоги забезпечення документацією
2.3.2 Контроль документів
2.3.3 Контроль записів
Подобный материал:
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»


ІКТА

кафедра ЗІ


Реферат

на тему: «Система менеджменту інформаційної безпеки»


Виконав: ст. гр. УІ-21

Єремейчук Ю.В.

Прийняв: Ромака В.О.  


Львів – 2010

План

1. Головні визначення

2. Система менеджменту інформаційної безпеки


2.1 Загальні вимоги


2.2 Створення і менеджмент СМІБ

2.2.1 Створення СМІБ

2.2.2 Впровадження і використання СМІБ

2.2.3 Моніторинг і перевірка СМІБ

2.2.4 Підтримка і вдосконалення СМІБ


2.3 Вимоги забезпечення документацією

2.3.1 Загальні стани

2.3.2 Контроль документів

2.3.3 Контроль записів


1. Головні визначення


Система менеджменту інформаційної безпеки (СМИБ) - та частина загальної системи менеджменту, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримці і поліпшенні інформаційної безпеки.

У разі побудови відповідно до вимог ISO/IEC_27001 грунтується на PDCA моделі :
  • Plan (Планування) - фаза створення СМИБ, створення переліку активів, оцінки ризиків і вибору заходів;
  • Do (Дія) - етап реалізації і впровадження відповідних заходів;
  • Check (Перевірка) - фаза оцінки ефективності і продуктивності СМИБ. Зазвичай виконується внутрішніми аудиторами.
  • Act (Поліпшення) - виконання превентивних і коригуючих дій.


Поняття інформаційної безпеки

Стандарт ISO 27001 визначає інформаційну безпеку як: "збереження конфіденційності, цілісності і доступності інформації; крім того, можуть бути включені і інші властивості, такі як достовірність, неможливість відмови від авторства, достовірність".

Конфіденційність - забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).

Цілісність - забезпечення точності і повноти інформації, а також методів її обробки.

Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).

2. Система менеджменту інформаційної безпеки



2.1 Загальні вимоги


Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати і удосконалювати документовані положення СМИБ у рамках усієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі цього Міжнародного Стандарту використовуваний процес грунтується на моделі PDCA, показаній на мал. 1.


2.2 Створення і менеджмент СМІБ


2.2.1 Створення СМІБ


Організація повинна зробити наступне.


a) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень яких-небудь положень документу з проекту СМІБ (см.1.2).


b) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, розробити політикові СМИБ яка:
  1. включає систему постановки цілей (завдань) і встановлює загальний напрям керівництва і принципи дії відносно інформаційної безпеки;
  2. бере до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання по безпеці;
  3. приєднана до стратегічного середовища управління ризиком, в якій має місце створення і підтримка СМИБ;
  4. встановлює критерії, по яких оцінюватиметься ризик (см 4.2.1 с)); і
  5. затверджена керівництвом.


ПРИМІТКА: В цілях цього Міжнародного Стандарту, політикою СМИБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.


c) Розробити концепцію оцінки ризику в організації.

  1. Визначити методологію оцінки риска, яка підходить СМИБ, і встановленій діловій інформаційній безпеці, юридичним і регулятивним вимогам.
  2. Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику (см 5.1f).

Вибрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівнянні і відтворні результати.


ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС/МЭК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджменту IT Безпеки - Методи менеджменту IT Безпеки.


d) Виявити риски.


1) Визначити активи у рамках положень СМИБ, і владельцев2 (2 Термін "власник" ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, застосування і безпеки активів. Термін "власник" не означає, що персона дійсно має які-небудь права власності на актив) цих активів.


2) Виявити небезпеки для цих активів.

  1. Виявити вразливі місця в системі захисту.



  1. Виявити дії, які руйнують конфіденційність, цілісність і доступність активів.


e) Проаналізувати і оцінити риски.

  1. Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів.
  2. Визначити вірогідність провалу системи безпеки у світлі переважаючих небезпек і уязвимостей, ударів, пов'язаних з активами, і впроваджених нині елементів управління.
  3. Оцінити рівні ризику.
  4. Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику, встановлені в 4.2.1с) 2).


f) Виявити і оцінити інструменти для скорочення ризику.


Можливі дії включають:
  1. Застосування відповідних елементів управління;
  2. Свідоме і об'єктивне прийняття ризиків, безумовна відповідність, що гарантує їх, вимогам політики організації і критеріям допустимості ризику #002));
  3. Уникнення ризику; і
  4. Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.


g) Вибрати завдання і засоби управління для скорочення ризиків.


Завдання і засоби управління мають бути вибрані і впроваджені відповідно до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику #002)), так і юридичні, регулятивні і договірні вимоги.


Завдання і засоби управління з Додатка A мають бути вибрані як частина цього процесу, що відповідають встановленим вимогам.


Т. до. у Додатку А перераховані не усі завдання і засоби управління, то можуть бути вибрані додаткові.


ПРИМІТКА: Додаток А містить усебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити жоден важливий пункт з опцій управління, даним, що користуються, Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.


h) Досягти затвердження управління передбачуваними залишковими рисками.


i) Досягти авторизації управління для функціонування СМІБ.


j) Скласти Декларацію Застосовності


А Декларація Застосовності повинна включати наступне:

  1. завдання і засоби управління, вибрані в 4.2.1g), і причини їх вибору;
  2. завдання і засоби управління, діючі нині #002)); і
  3. виключення яких-небудь завдань і засобів управління з Додатка А і обгрунтування їх виключення.


ПРИМІТКА: Декларація застосовності є зведенням рішень відносно скорочення ризику. Обгрунтування виключень забезпечує повторну перевірку за різними джерелами того, що жодного елементу управління не було упущено.


2.2.2 Впровадження і використання СМІБ


Організація повинна зробити наступне.


a) Сформулювати план скорочення ризику, який визначає відповідні дії, що управляють, ресурси, зобов'язання і пріоритети для управління рисками інформаційної безпеки (см 5).


b) Здійснити план скорочення ризиків для того, щоб досягти встановлених цілей, які включають аналіз фінансування і розподілу ролей і обов'язків.


c) Впровадити засоби управління, вибрані в 4.2.1g), для досягнення поставлених цілей.


d) Визначити, як виміряти ефективність вибраних засобів управління або груп засобів управління, і встановити як ця система заходів повинна використовуватися, щоб оцінити ефективність управління і отримати сумірні і відтворні результати (см 4.2.3с)).


ПРИМІТКА: Оцінка ефективності засобів управління дозволяє менеджерам і штату службовців визначити, наскільки добре засоби управління досягають поставлених цілей.


e) Впровадити повчальні і інформуючі програми (см 5.2.2).


f) Управляти функціонуванням СМІБ.


g) Забезпечити СМИБ трудовими ресурсами (см 5.2)


h) Впровадити методику і інші засоби управління, здатні своєчасно виявити події безпеки і реакцію у відповідь на інциденти безпеки (см 4.2.3а)).


2.2.3 Моніторинг і перевірка СМІБ


Організація повинна зробити наступне.


a) Впровадити правила моніторингу і перевірки і інші засоби управління для того, щоб:

1) своєчасно виявляти помилки в результатах процесу;

2) своєчасно розпізнавати невдалі порушення безпеки і інциденти, що вдалися;

3) задіювати менеджмент, щоб визначити, чи належно виконується робота по безпеці, доручена людям або здійснювана інформаційними технологіями;

4) сприяти виявленню подій безпеки і таким чином, використовуючи певні показники, попереджати інциденти безпеки; і

5) визначити ефективність дій, зроблених для запобігання порушенню безпеки.


b) Проводити регулярні перевірки ефективності СМІБ (включаючи обговорення політики СМИБ і її завдань, перевірку засобів управління безпекою), зважаючи на результати аудитів, інцидентів, результати вимірів ефективності, пропозиції і рекомендації усіх зацікавлених сторін.


c) Оцінити ефективність засобів управління, щоб виявити, чи задоволені вимоги безпеки.


d) Перевірити оцінку ризиків по запланованих періодах і перевірити залишкові риски і допустимі рівні ризиків, приймаючи в уваги зміни в:

1) організації;

2) технології;

3) бизнес-целях і процесах;

4) ідентифікованих погрозах;

5) ефективності впроваджених засобів управління; і

6) зовнішніх подіях, таких як зміни в юридичному і управлінському середовищі, змінені договірні зобов'язання, зміни соціального клімату.


e) Проводити внутрішні аудити СМІБ в заплановані періоди (см 6)


ПРИМІТКА: Внутрішні аудити, іноді звані первинними аудитами, проводяться від імені самої організації в її власних цілях.


f) На регулярній основі проводити перевірку управління СМИБ, щоб переконатися, що положення залишається придатним, а СМИБ удосконалюється.


g) Оновлювати плани безпеки з урахуванням даних, отриманих в результаті моніторингу і перевірки.


h) Записувати дії і події, які можуть вплинути на ефективність або продуктивність СМИБ (см 4.3.3).


2.2.4 Підтримка і вдосконалення СМІБ


Організація повинна постійно робити наступне.


a) Впроваджувати в СМИБ певні виправлення.

b) Робити відповідні заходи, що коригують і превентивні, відповідно до 8.2 і 8.3. Застосовувати знання, накопичені самою організацією і отримані з досвіду інших організацій.

c) Повідомляти про свої дії і вдосконалення усім зацікавленим сторонам в мірі деталізації, що відповідає обстановці; і, відповідно, погоджувати свої дії.

d) Переконатися, що поліпшення досягли наміченої мети.


2.3 Вимоги забезпечення документацією


2.3.1 Загальні стани


Документація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів.


Важливо уміти демонструвати зворотний зв'язок вибраних засобів управління з результатами процесів оцінки ризику і його скорочення, і далі з політикою СМІБ і її цілями.


У документацію СМІБ необхідно включити:


a) документовані формулювання політики і цілей СМИБ (см 4.2.1b));

b) положення СМИБ (см 4.2.1а));

c) концепцію і засоби управління на підтримку СМІБ;

d) опис методології оцінки ризику (см 4.2.1с));

e) звіт про оцінку ризику (см 4.2.1с) - 4.2.1g));

f) план скорочення ризику (см 4.2.2b));

g) документовану концепцію, необхідну організації для забезпечення ефективності планування, функціонування і управління процесами її інформаційної безпеки і опису способів виміру ефективності засобів управління (см 4.2.3с));

h) документи, потрібні цим Міжнародним Стандартом (см 4.3.3); і

i) Твердження про Застосовність.


ПРИМІТКА 1: У рамках цього Міжнародного Стандарту термін "документована концепція" означає, що концепція впроваджена, документована, виконується і дотримується.


ПРИМІТКА 2: Розмір документації СМІБ в різних організаціях може коливатися залежно від:

- - розміру організації і типу її активів; і

- - масштабу і складності вимог безпеки і керованої системи.


ПРИМІТКА 3: Документи і звіти можуть надаватися в будь-якій формі.


2.3.2 Контроль документів


Документи, необхідні СМІБ, необхідно захищати і регулювати. Необхідно затвердити процедуру документації, необхідну для опису управлінських дій з, :

a) встановленню відповідності документів певним нормам до їх публікації;

b) перевірці і оновленню документів як необхідності, переутверждению документів;

c) забезпеченню відповідності змін поточному стану виправлених документів;

d) забезпеченню доступності важливих версій діючих документів;

e) забезпеченню зрозумілості і читабельності документів;

f) забезпеченню доступності документів тим, кому вони потрібні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, вживаних залежно від їх класифікації;

g) встановленню достовірності документів із зовнішніх джерел;

h) контролю поширення документів;

i) попередженню неумисного використання документів, що вийшли із вживання; і

j) застосуванню до них відповідного способу ідентифікації, якщо вони зберігаються просто про всяк випадок.


2.3.3 Контроль записів


Записи повинні створюватися і зберігатися для того, щоб забезпечити підтвердження відповідності вимогам і ефективне функціонування СМИБ. Записи необхідно захищати і перевіряти. СМИБ повинна враховувати будь-які юридичні і регулятивні вимоги і договірні зобов'язання. Записи мають бути зрозумілі, легко идентифицируемы і відновлені. Засоби управління, необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання і знищення записів, мають бути документально затверджені і введені в дію.

У записі необхідно включати інформацію про проведення заходів, описаних в 4.2, і про усі події і значущі для безпеки інциденти, що відносяться до СМИБ.


ПРИКЛАД

Прикладами записів є гостьова книга, протоколи аудиту і заповнені форми авторизації доступу.