Технологія інформаційної безпеки
Ціль інформаційної безпеки (ІБ) - забезпечити безперебійну роботу організації та звести до мінімуму збиток від подій, що містять погрозу безпеки.
Це можна зробити двома способами:
. Упередити всі спроби несанкціонованого доступу, що практично неможливо внаслідок обов’язкової наявності помилок у великій системі, якою є програмне забезпечення комп’ютерної системи (КС).
. Дотримуватися вимог політики безпеки, що полягає у виявленні порушень політики безпеки та реагуванні на будь-які атаки її порушників. На думку більшості фахівців з комп’ютерної безпеки, це надає можливість забезпечення найбільш результативного захисту та зменшення збитків від атак ззовні та у самій КС.
Не всі засоби контролю раціонально застосовувати до кожного інформаційного середовища; їх варто використовувати вибірково з урахуванням конкретних умов.
Але десять засобів контролю, перелічених далі у теперішніх практичних правилах, вважаються особливо важливими.
Десять принципів контролю інформаційної безпеки
Принцип 1. Документ про політику інформаційної безпеки
Письмовий документ про політику безпеки повинен бути доступний усім співробітникам, що відповідають за забезпечення режиму інформаційної безпеки.
Принцип 2. Розподіл обов'язків по забезпеченню інформаційної безпеки
Необхідно чітко визначити обов'язки по захисту окремих ресурсів і виконанню конкретних процесів забезпечення безпеки.
Захист інформаційної системи повинен бути обов'язком її власника.
Принцип 3. Навчання правилам інформаційної безпеки
Користувачі повинні одержати необхідні відомості про політику організації і прийнятих у ній процедурах, включаючи вимоги до безпеки й інших засобів контролю, а також навчитися правильно користатися інформаційними ресурсами
Принцип 4. Повідомлення про інциденти в системі безпеки
Про події, що таять погрозу безпеки, потрібно без зволікання повідомляти по адміністративних каналах.
Принцип 5. Засоби захисту від вірусів
Необхідно реалізувати заходи для виявлення та запобігання проникненню вірусів у системи та процедури інформування користувачів про їхню шкоду.
Принцип 6. Процес планування безперебійної роботи організації
Для розробки і реалізації планів забезпечення безперебійної роботи організації необхідно мати відповідний процес.
Такий процес повинний передбачати ідентифікацію і зменшення ризиків навмисних чи випадкових погроз, яким піддаються життєво важливі сервіси. Необхідно розробити плани підтримки безперервності виробничої діяльності після відмовлення чи ушкодження життєво важливих сервісів чи систем.
Принцип 7. Контроль за копіюванням ПЗ, захищеного законом про авторське право
Варто взяти до уваги обмеження, що накладаються чинним законодавством на використання матеріалів, захищених законом про авторське право.
Принцип 8. Захист документації організації
Важливі для організації документи необхідно захищати від утрати, знищення та підробки.
Принцип 9. Захист даних
У багатьох країнах персональні дані (про осіб, яких можна ідентифікувати по них), збережені чи оброблювані на комп'ютері, попадають під законодавство про захист інформації
Принцип 10. Відповідність політиці безпеки
Усі підрозділи організації варто регулярно перевіряти, щоб забезпечити відповідність прийнятій політиці і стандартам безпеки.
Структура інформаційної безпеки
Інформаційна безпека вимагає вирішення наступних питань.
. Політика безпеки.
. Організація захисту.
. Класифікація ресурсів і їхній контроль.
. Безпека персоналу.
. Фізична безпека й безпека навколишнього середовища.
. Адміністрування комп'ютерних систем і обчислювальних мереж.
. Управління доступом до систем.
. Розробка й супровід інформаційних систем.
. Планування безперебійної роботи організації.
. Виконання вимог.
Завдання вимог до інформаційної безпеки організації
Існують три основних групи вимог до системи безпеки в будь-якій організації.
Перша група вимог - це унікальний набір ризиків порушення безпеки, що складається з погроз, яким піддаються інформаційні ресурси, й їхніх слабостей і можливий вплив цих ризиків на роботу організації.
Друга група вимог - це набір правових і договірних вимог, яким повинні задовольняти організація, її торгові партнери, підрядчики й постачальники послуг; при цьому зростає необхідність стандартизації в міру поширення електронного обміну інформацією з мереж між організаціями.
Третя група вимог - це унікальний набір принципів, цілей і вимог до обробки інформації, що розроблений організацією для виробничих цілей. Важливо (наприклад, для забезпечення конкурентноздатності), щоб у політиці безпеки були відбиті ці вимоги, й життєво важливо, щоб реалізація чи відсутність засобів управління безпекою в інформаційній інфраструктурі не заважали виробничій діяльності організації.
