Управление информационной безопасностью - 17799

Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

Управление информационной безопасностью (см. Управление информационной безопасностью) позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов.

Информационная безопасность состоит из трех основных компонентов:

а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата;

б) целостность: обеспечение точности и полноты информации и компьютерных программ;

в) доступность: обеспечение доступности информации и жизненно важных сервисов для пользователей, когда это требуется.

Десять ключевых средств контроля представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля применимы ко всем организациях и средам и отмечены символом ключа. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

§ документ о политике информационной безопасности (см. Документ о политике информационной безопасности);

§ распределение обязанностей по обеспечению информационной безопасности (см. Распределение обязанностей по обеспечению информационной безопасности);

§ обучение и подготовка персонала к поддержанию режима информационной безопасности (см. Обучение правилам информационной безопасности);

§ уведомление о случаях нарушения защиты (см. Уведомление об инцидентах в системе безопасности);

§ средства защиты от вирусов (см. Средства защиты от вирусов);

§ процесс планирования бесперебойной работы организации (см. Процесс планирования бесперебойной работы организации);

§ контроль за копированием программного обеспечения, защищенного законом об авторском праве (см. Контроль за копированием ПО, защищенного законом об авторском праве);

§ защита документации организации (см. Защита документации организации);

§ защита данных (см. Защита данных);

§ соответствие политике безопасности (см. Соответствие политике безопасности).

§ Существуют три основных группы требований к системе безопасности в любой организации. Первая группа требований — это уникальный набор рисков нарушения безопасности, состоящий из угроз, которым подвергаются информационные ресурсы, и их слабостей и возможное воздействие этих рисков на работу организации. Большинство из этих рисков описаны в настоящих правилах и им можно успешно противостоять, если воспользоваться приведенными здесь рекомендациями. Однако существуют риски, требующие специального обращения, и их необходимо рассматривать с учетом их оценки в каждой конкретной организации или для каждого конкретного компонента системы.

§ Вторая группа требований — это набор правовых и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг; при этом возрастает необходимость стандартизации по мере распространения электронного обмена информацией по сетям между организациями. Данные практические правила могут служить надежной основой для задания общих требований этого типа.

§ Третья группа требований — это уникальный набор принципов, целей и требований к обработке информации, который разработан организацией для производственных целей. Важно (например, для обеспечения конкурентоспособности), чтобы в политике безопасности были отражены эти требования, и жизненно важно, чтобы реализация или отсутствие средств управления безопасностью в информационной инфраструктуре не мешали производственной деятельности организации.

§ Привлечение надлежащих средств контроля и требуемая гибкость с самого начала процесса планирования информационных систем являются необходимыми условиями для успешного завершения работы.

Для оценки рисков нарушения безопасности необходимо систематически рассматривать следующие аспекты:

а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля, рекомендуемых в настоящих практических правилах. Оценка этих двух аспектов риска зависит от следующих факторов:

§ характера производственной информации и систем;

§ производственной цели, для которой информация используется;

§ среды, в которой система используется и управляется;

§ защиты, обеспечиваемой существующими средствами контроля.

Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.

Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:

а) цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;

б) явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;

в) хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;

г) ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;

д) предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.