Система менеджмента информационной безопасности и защиты информации организации: документирование конфиденциальной информации

РЕФЕРАТ

 

Система менеджмента информационной безопасности и защиты информации организации: документирование конфиденциальной информации

 

 

Оглавление

 

1. Список сокращений и специальных терминов…………………………….3
2. Содержание реферата………………………………………………………..4
1. Внедрение системы менеджмента информационной безопасности……………………………………………………………………….4
2. Организация защиты информации на предприятии…………….......10
3. Документирование конфиденциальной информации………………11
3. Библиографический список………………………………………………..13
4. Список электронных ресурсов…………………………………………….14

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Список сокращений и специальных терминов

 

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Доступность информации –  это возможность получить за приемлемое время требуемую информационную услугу.

Информационная безопасность — это состояние защищённости информационной среды; защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

Конфиденциальность информации – это защита от несанкционированного доступа к информации.

Политика безопасности –  совокупность документированных правил, процедур, практических приемов или  руководящих принципов в области  безопасности информации, которыми руководствуется  организация в своей деятельности.

Система менеджмента информационной безопасности — это совокупность процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных активов.

Целостность информации –  актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

 

 

 

2. Содержание реферата

 

1. Внедрение системы менеджмента информационной безопасности

 

Перечень процессов и  рекомендации, как наилучшим образом  организовать их функционирование, приведены в международном стандарте ISO 27001:2005.

Работа системы основана на подходах современной теории риск менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента  информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов  оценки рисков, в организации внедряются следующие процессы:

• управление внутренней организацией информационной безопасности;
• обеспечение информационной безопасности при взаимодействии с третьими сторонами;
• управление реестром информационных активов и правила их классификации;
• управление безопасностью оборудования;
• обеспечение физической безопасности;
• обеспечение информационной безопасности персонала;
• планирование и принятие информационных систем;
• резервное копирование;
• обеспечение безопасности сети;
• и многие другие.

Процессы системы менеджмента  информационной безопасности затрагивают все аспекты управления ИТ инфраструктурой организации, так как информационная безопасность — это результат устойчивого функционирования процессов, связанных с информационными технологиями.

Использование ИТ-решений  для поддержки основных бизнес-процессов  компании или непосредственно для  оказания услуг клиентам предъявляет  высокие требования к их качеству – доступности, мощности, непрерывности  и безопасности использования. Реализация угроз различного характера –  от вирусной эпидемии во внутренней сети до отказа системы электропитания в  масштабах города – может привести к нарушению деятельности организации, прямым финансовым потерям и ущербу репутации. Зрелая Система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление обеспечением ИБ: отсутствие неприемлемых рисков со стороны ИТ-систем для организации, и поддержание баланса между рисками и затратами на обеспечение ИБ.

Выгоды от реализации СМИБ в организации достигаются за счет:

• эффективного управления соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
• предупреждения возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
• повышения культуры ИБ в организации;
• повышения зрелости в области управления обеспечением ИБ;
• оптимизации расходования средств на обеспечение ИБ.

Компания Открытые Технологии предоставляет своим клиентам полный спектр услуг в области построения, эксплуатации, развития и сертификации СМИБ.

Современная СМИБ представляет собой процессно-ориентированную  систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие  разрезы СМИБ: процессный, документальный и зрелостный.

Процессы СМИБ созданы  в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит  цикл управления Plan-Do-Check-Act. В соответствии с ним жизненный цикл СМИБ состоит  из четырех типов деятельности: Создание – Внедрение и эксплуатация – Мониторинг и анализ – Сопровождение и совершенствование. Процессы СМИБ интегрируются в существующую структуру бизнес-процессов организации для выполнения всех требований стандарта.

Для их автоматизации применяется  специализированное программное обеспечение, использование которого позволяет  существенно уменьшить трудоемкость эксплуатации СМИБ, повысить уровень  зрелости процессов менеджмента  и упростить процедуры внутреннего  и внешнего сертификационного аудита.

Документация СМИБ состоит  из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

Документация менеджмента  ИБ представлена Политиками ИБ и СМИБ, основной процедурой – "Менеджмент ИБ" и сопутствующими формами записей, процедурами "Внутренний аудит", "Управление документацией" и Управление Записями. При необходимости СМИБ интегрируется с существующей в организации СМК, а также с другими системами менеджмента.

Зрелостная модель СМИБ определяет состав и детализацию разрабатываемой документации, последовательность построения СМИБ, детальность разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

При построении СМИБ специалисты  компании Открытее Технологии проводят следующие работы:

• организуют управление проектом, формируют проектную группу со стороны заказчика и исполнителя;
• определяют область деятельности (ОД) СМИБ;
• обследуют организацию в ОД СМИБ:
• в части бизнес-процессов организации, включая анализ негативных последствий инцидентов ИБ;
• в части процессов менеджмента организации, включая существующие процессы менеджмента качества и управления обеспечением ИБ;
• в части ИТ инфраструктуры;
• в части ИБ инфраструктуры;
• разрабатывают и согласовывают аналитический отчет, содержащий перечень основных бизнес-процессов и оценку последствий реализации угроз ИБ в их отношении, перечень процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
• выбирают исходный и целевой уровень зрелости СМИБ, разрабатывают и утверждают Программу повышения зрелости СМИБ; –разрабатывают высокоуровневую документацию в области ИБ: Концепцию обеспечения ИБ, Политики ИБ и СМИБ;
• выбирают и адаптируют методику оценки рисков, применимую в организации;
• выбирают, поставляют и развертывают ПО, используемое для автоматизации процессов СМИБ, организуют обучение специалистов Заказчика;
• совместно со специалистами Заказчика проводят оценку и обработку рисков, в ходе которой для их снижения выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбирают технические средства обеспечения ИБ;
• разрабатывают эскизные проекты ПИБ, производят оценку стоимости обработки рисков;
• организуют утверждение оценки рисков высшим руководством организации и разрабатывают Положения о применимости; разрабатывают организационные меры обеспечения ИБ;
• разрабатывают и реализуют технические проекты по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
• предоставляют консультации в ходе эксплуатации построенной СМИБ;
• организуют обучение внутренних аудиторов и проведение внутренних аудитов СМИБ, сопровождают внутренние аудиты;
• выполняют работы по Программе повышения зрелости СМИБ.

Результатом данных работ  является функционирующая СМИБ целевого уровня зрелости.

Сертификация СМИБ проводится по решению высшего руководства  организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:

• выбор сертифицирующей организации;
• организацию предсертификационного аудита;
• консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на предсертификационном аудите;
• организацию сертификационного аудита;
• консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на сертификационном аудите;
• сопровождение СМИБ после сертификационного аудита.

Привлечение к сертификационному  аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.

Используются следующие  источники:

• международные стандарты ISO/IEC: 27001:2005, 27005:2008, 27002:2005;
• другие зарубежные стандарты и рекомендации: ISO/IEC TR 18044, BS 25999-1:2006, BS 25999-2:2007, PAS 77:2006, IT BIP 0071, 0072, 0073, 0074, NIST SP 800-53:2007;
• собственные разработки компании Открытые Технологии: концепция обеспечения информационной безопасности в распределенной организации;
• количественная и рейтинговая методики оценки рисков ИБ; обобщенная процессная модель СМИБ;
• типовые проекты построения технических подсистем информационной безопасности.

Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.

В общий перечень подсистем  входят:

• подсистема антивирусной и антиспам защиты;
• подсистема обнаружения и предотвращения вторжений;
• подсистема криптографической защиты каналов связи КСПД;
• подсистема мониторинга, сбора и корреляции событий ИБ;
• подсистема безопасного взаимодействия с технологическими сетями;
• подсистема безопасного взаимодействия с сетью Internet;
• подсистема разграничения и контроля доступа к ресурсам КИС;
• подсистема удаленного доступа к ресурсам КИС;
• подсистема анализа уязвимостей;
• подсистема контроля подключения внешних устройств;
• подсистема управления средствами ИБ.