1 Проведение первоначального аудита информационной безопасности




Скачать 354.9 Kb.
Название1 Проведение первоначального аудита информационной безопасности
страница1/3
Дата16.10.2012
Размер354.9 Kb.
ТипРеферат
  1   2   3
Содержание


Введение ………………………………………………………………….……….3

Глава 1Теоретические основы процесса обеспечения информационной безопасности

1.1 Необходимость создания системы информационной безопасности……………………………………………………………….……...5

1.2 Требования к системе информационной безопасности………………..…7

1.3 Внедрение политики информационной безопасности……………………8

1.4 Факторы, определяющие эффективность политики безопасности…….10

1.5 Оценка рисков………………………………………………………….…..13

Глава 2 Проведение аудита информационной безопасности

2.1 Проведение первоначального аудита ИС………………………………...16

2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности…………………………………………………………………..…23

2.3 Рекомендации по обеспечению информационной безопасности………25

Заключение…………………………………………………………………….....38

Список литературы……………………………………………………………....40


Введение



Что такое информационная безопасность?

Информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.

Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная безопасность — механизм защиты, обеспечивающий:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками,

методами, процедурами, организационными структурами и функциями программного обеспечения.

Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Цель данной работы - разработать стратегию ИБ предприятия в виде системы эффективных политик, включающих эффективный и достаточный набор требований безопасности.

Задачи:

1) Проведение первоначального аудита информационной безопасности;

2) Выработка рекомендаций по устранению уязвимостей;

3) Разработка нормативных актов, регулирующих информационную безопасность;

Глава 1. Теоретические основы процесса обеспечения информационной безопасности


    1. Необходимость создания системы информационной безопасности



Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались, Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

    1. Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

1.2 Требования к системе информационной безопасности

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

    1. Внедрение политики информационной безопасности


Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.


Ключевыми мерами контроля с точки зрения законодательства являются:

- обеспечение конфиденциальности персональных данных;

- защита учетных данных организации;

- права на интеллектуальную собственность.


Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

- наличие документа, описывающего политику информационной безопасности;

- распределение обязанностей по обеспечению информационной безопасности;

- обучение вопросам информационной безопасности;

- информирование об инцидентах, связанных с информационной безопасностью;

- управление непрерывностью бизнеса.


Перечисленные мероприятия применимы для большинства организаций и информационных сред.

Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.


1.4 Факторы, определяющие эффективность политики безопасности


Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Безопасность препятствует прогрессу.

Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".

Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.

Навыки безопасного поведения приобретаются в процессе обучения

В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

Нарушения политики безопасности являются неизбежными.

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.

Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться.


Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:

- соответствие целей, политик и процедур информационной безопасности целям бизнеса;

- согласованность подхода к внедрению системы безопасности с корпоративной культурой;

- видимая поддержка и заинтересованность со стороны руководства;

- четкое понимание требований безопасности, оценка рисков и управление рисками;

- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;

- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;

- обеспечение необходимого обучения и подготовки;

- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.


1.5 Оценка рисков


Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.

Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.


Спорным вопросом предмета оценки информационных рисков является использование объективных и субъективных вероятностей для анализа уязвимостей и непосредственно анализа информационного риска. Согласно [ГОСТ Р 51897 2002] риск: Сочетание вероятности событий и их последствий1. Вероятность: Мера того, что событие может произойти. ГОСТ Р 50779.10 дает математическое определение вероятности: «действительное число в интервале от 0 до 1, относящиеся к случайному событию». Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.

Оценка риска: Общий процесс анализа риска и оценивания риска. Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы. Для применения данного метода требуется наличие довольно большого массива наблюдений за соответствующими факторами риска, который затем обрабатывается с помощью несложных математических методов.

Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Процесс получения субъективной вероятности обычно разделяют на три этапа:

  • подготовительный этап,

  • получение оценок,

  • этап анализа полученных оценок.

Во время первого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым. На третьем этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.

Одним из методов субъективной вероятности является метод прямой оценки вероятностей событий2. В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура. Сумма всех полученных вероятностей должна равняться единице.

  1   2   3

Похожие:

1 Проведение первоначального аудита информационной безопасности iconАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности
1 Проведение первоначального аудита информационной безопасности iconВсероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» I v пленум Сиброумо
Белокуриха на базе филиала АлтГУ. В рамках конференции планируется проведение IV пленума Сибирского регионального отделения учебно-методического...
1 Проведение первоначального аудита информационной безопасности iconВ разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной
Обсуждаются вопросы безопасности компьютерных сетей и межсетевого взаимодействия. Приведен краткий обзор стандартов информационной...
1 Проведение первоначального аудита информационной безопасности iconИсследование структурно-фазовых изменений в конструкционных под воздействием ионизирющих излучений
Проведение технологического аудита инновационных проектов высших учебных заведений г. Обнинска специалистами, прошедшими обучение...
1 Проведение первоначального аудита информационной безопасности iconУказания по заполнению заявки на проведение регистрации (учета) информационной системы и паспорта информационной системы
Настоящий документ определяет порядок заполнения заявки на проведение регистрации (учета) информационной системы и паспорта информационной...
1 Проведение первоначального аудита информационной безопасности iconГубернатор хабаровского края постановление от 20 апреля 2002 г. N 236 о совете по информационной безопасности при губернаторе хабаровского края
Во исполнение основных положений Доктрины информационной безопасности Российской Федерации и в целях оптимизации работы совета по...
1 Проведение первоначального аудита информационной безопасности iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
1 Проведение первоначального аудита информационной безопасности icon1. теоретические основы информационной безопасности предприятия
Понятие информационной безопасности предприятия. Роль информационной безопасности в бизнесе
1 Проведение первоначального аудита информационной безопасности iconДоговор № на проведение ресертификационного аудита системы менеджмента охраны труда и техники безопасности
Открытое акционерное общество "Северные магистральные нефтепроводы" (оао "смн"), именуемое в дальнейшем "заказчик", в лице генерального...
1 Проведение первоначального аудита информационной безопасности iconИсторические аспекты возникновения и развития информационной безопасности
Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница