МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»ІКТА кафедра ЗІРеферат на тему: «Система менеджменту інформаційної безпеки»Виконав: ст. гр. УІ-21Єремейчук Ю.В.Прийняв: Ромака В.О. Львів – 2010План1. Головні визначення 2. Система менеджменту інформаційної безпеки 2.1 Загальні вимоги2.2 Створення і менеджмент СМІБ2.2.1 Створення СМІБ 2.2.2 Впровадження і використання СМІБ^ 2.2.3 Моніторинг і перевірка СМІБ2.2.4 Підтримка і вдосконалення СМІБ2.3 Вимоги забезпечення документацією2.3.1 Загальні стани2.3.2 Контроль документів 2.3.3 Контроль записів1. Головні визначення Система менеджменту інформаційної безпеки (СМИБ) - та частина загальної системи менеджменту, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримці і поліпшенні інформаційної безпеки.У разі побудови відповідно до вимог ISO/IEC_27001 грунтується на PDCA моделі :Plan (Планування) - фаза створення СМИБ, створення переліку активів, оцінки ризиків і вибору заходів;Do (Дія) - етап реалізації і впровадження відповідних заходів;Check (Перевірка) - фаза оцінки ефективності і продуктивності СМИБ. Зазвичай виконується внутрішніми аудиторами.^ Act (Поліпшення) - виконання превентивних і коригуючих дій.Поняття інформаційної безпекиСтандарт ISO 27001 визначає інформаційну безпеку як: "збереження конфіденційності, цілісності і доступності інформації; крім того, можуть бути включені і інші властивості, такі як достовірність, неможливість відмови від авторства, достовірність".Конфіденційність - забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).Цілісність - забезпечення точності і повноти інформації, а також методів її обробки.Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).^ 2. Система менеджменту інформаційної безпеки 2.1 Загальні вимогиОрганізація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати і удосконалювати документовані положення СМИБ у рамках усієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі цього Міжнародного Стандарту використовуваний процес грунтується на моделі PDCA, показаній на мал. 1.^ 2.2 Створення і менеджмент СМІБ2.2.1 Створення СМІБ Організація повинна зробити наступне.a) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, визначити масштаб і межі СМІБ, включаючи деталі і обгрунтування виключень яких-небудь положень документу з проекту СМІБ (см.1.2).b) Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, розробити політикові СМИБ яка: включає систему постановки цілей (завдань) і встановлює загальний напрям керівництва і принципи дії відносно інформаційної безпеки; бере до уваги ділові і юридичні або регулятивні вимоги, договірні зобов'язання по безпеці; приєднана до стратегічного середовища управління ризиком, в якій має місце створення і підтримка СМИБ; встановлює критерії, по яких оцінюватиметься ризик (см 4.2.1 с)); і затверджена керівництвом.ПРИМІТКА: В цілях цього Міжнародного Стандарту, політикою СМИБ вважається розширений набір політик інформаційної безпеки. Ці політики можуть бути описані в одному документі.c) Розробити концепцію оцінки ризику в організації. Визначити методологію оцінки риска, яка підходить СМИБ, і встановленій діловій інформаційній безпеці, юридичним і регулятивним вимогам. Розробляти критерії прийняття ризику і визначати прийнятні рівні ризику (см 5.1f). Вибрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівнянні і відтворні результати.ПРИМІТКА: Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті в МОС/МЭК ТУ 13335-3, Інформаційні технології - Рекомендації до менеджменту IT Безпеки - Методи менеджменту IT Безпеки.d) Виявити риски.1) Визначити активи у рамках положень СМИБ, і владельцев2 (2 Термін "власник" ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічного обслуговування, застосування і безпеки активів. Термін "власник" не означає, що персона дійсно має які-небудь права власності на актив) цих активів. 2) Виявити небезпеки для цих активів. Виявити вразливі місця в системі захисту. Виявити дії, які руйнують конфіденційність, цілісність і доступність активів.e) Проаналізувати і оцінити риски. Оцінити збиток бізнесу організації, який може бути нанесений внаслідок неспроможності системи захисту, а також бути наслідком порушення конфіденційності, цілісності, або доступності активів. Визначити вірогідність провалу системи безпеки у світлі переважаючих небезпек і уязвимостей, ударів, пов'язаних з активами, і впроваджених нині елементів управління. Оцінити рівні ризику. Визначити прийнятність ризику, або ж вимагати його скорочення, використовуючи критерії допустимості ризику, встановлені в 4.2.1с) 2).f) Виявити і оцінити інструменти для скорочення ризику.Можливі дії включають: Застосування відповідних елементів управління; Свідоме і об'єктивне прийняття ризиків, безумовна відповідність, що гарантує їх, вимогам політики організації і критеріям допустимості ризику #002)); Уникнення ризику; і Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.g) Вибрати завдання і засоби управління для скорочення ризиків.Завдання і засоби управління мають бути вибрані і впроваджені відповідно до вимог, встановлених процесом оцінкою ризику і скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику #002)), так і юридичні, регулятивні і договірні вимоги.Завдання і засоби управління з Додатка A мають бути вибрані як частина цього процесу, що відповідають встановленим вимогам.Т. до. у Додатку А перераховані не усі завдання і засоби управління, то можуть бути вибрані додаткові.ПРИМІТКА: Додаток А містить усебічний список цілей управління, які були визначені як найбільш значущі для організацій. Щоб не пропустити жоден важливий пункт з опцій управління, даним, що користуються, Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки. h) Досягти затвердження управління передбачуваними залишковими рисками.i) Досягти авторизації управління для функціонування СМІБ.j) Скласти Декларацію ЗастосовностіА Декларація Застосовності повинна включати наступне: завдання і засоби управління, вибрані в 4.2.1g), і причини їх вибору; завдання і засоби управління, діючі нині #002)); і виключення яких-небудь завдань і засобів управління з Додатка А і обгрунтування їх виключення.ПРИМІТКА: Декларація застосовності є зведенням рішень відносно скорочення ризику. Обгрунтування виключень забезпечує повторну перевірку за різними джерелами того, що жодного елементу управління не було упущено.^ 2.2.2 Впровадження і використання СМІБОрганізація повинна зробити наступне.a) Сформулювати план скорочення ризику, який визначає відповідні дії, що управляють, ресурси, зобов'язання і пріоритети для управління рисками інформаційної безпеки (см 5).b) Здійснити план скорочення ризиків для того, щоб досягти встановлених цілей, які включають аналіз фінансування і розподілу ролей і обов'язків.c) Впровадити засоби управління, вибрані в 4.2.1g), для досягнення поставлених цілей.d) Визначити, як виміряти ефективність вибраних засобів управління або груп засобів управління, і встановити як ця система заходів повинна використовуватися, щоб оцінити ефективність управління і отримати сумірні і відтворні результати (см 4.2.3с)).ПРИМІТКА: Оцінка ефективності засобів управління дозволяє менеджерам і штату службовців визначити, наскільки добре засоби управління досягають поставлених цілей.e) Впровадити повчальні і інформуючі програми (см 5.2.2).f) Управляти функціонуванням СМІБ.g) Забезпечити СМИБ трудовими ресурсами (см 5.2)h) Впровадити методику і інші засоби управління, здатні своєчасно виявити події безпеки і реакцію у відповідь на інциденти безпеки (см 4.2.3а)).^ 2.2.3 Моніторинг і перевірка СМІБОрганізація повинна зробити наступне.a) Впровадити правила моніторингу і перевірки і інші засоби управління для того, щоб: 1) своєчасно виявляти помилки в результатах процесу; 2) своєчасно розпізнавати невдалі порушення безпеки і інциденти, що вдалися; 3) задіювати менеджмент, щоб визначити, чи належно виконується робота по безпеці, доручена людям або здійснювана інформаційними технологіями; 4) сприяти виявленню подій безпеки і таким чином, використовуючи певні показники, попереджати інциденти безпеки; і 5) визначити ефективність дій, зроблених для запобігання порушенню безпеки.b) Проводити регулярні перевірки ефективності СМІБ (включаючи обговорення політики СМИБ і її завдань, перевірку засобів управління безпекою), зважаючи на результати аудитів, інцидентів, результати вимірів ефективності, пропозиції і рекомендації усіх зацікавлених сторін.c) Оцінити ефективність засобів управління, щоб виявити, чи задоволені вимоги безпеки.d) Перевірити оцінку ризиків по запланованих періодах і перевірити залишкові риски і допустимі рівні ризиків, приймаючи в уваги зміни в: 1) організації; 2) технології; 3) бизнес-целях і процесах; 4) ідентифікованих погрозах; 5) ефективності впроваджених засобів управління; і 6) зовнішніх подіях, таких як зміни в юридичному і управлінському середовищі, змінені договірні зобов'язання, зміни соціального клімату.e) Проводити внутрішні аудити СМІБ в заплановані періоди (см 6)ПРИМІТКА: Внутрішні аудити, іноді звані первинними аудитами, проводяться від імені самої організації в її власних цілях.f) На регулярній основі проводити перевірку управління СМИБ, щоб переконатися, що положення залишається придатним, а СМИБ удосконалюється.g) Оновлювати плани безпеки з урахуванням даних, отриманих в результаті моніторингу і перевірки.h) Записувати дії і події, які можуть вплинути на ефективність або продуктивність СМИБ (см 4.3.3).^ 2.2.4 Підтримка і вдосконалення СМІБОрганізація повинна постійно робити наступне.a) Впроваджувати в СМИБ певні виправлення. b) Робити відповідні заходи, що коригують і превентивні, відповідно до 8.2 і 8.3. Застосовувати знання, накопичені самою організацією і отримані з досвіду інших організацій. c) Повідомляти про свої дії і вдосконалення усім зацікавленим сторонам в мірі деталізації, що відповідає обстановці; і, відповідно, погоджувати свої дії. d) Переконатися, що поліпшення досягли наміченої мети.^ 2.3 Вимоги забезпечення документацією2.3.1 Загальні станиДокументація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів. Важливо уміти демонструвати зворотний зв'язок вибраних засобів управління з результатами процесів оцінки ризику і його скорочення, і далі з політикою СМІБ і її цілями.У документацію СМІБ необхідно включити:a) документовані формулювання політики і цілей СМИБ (см 4.2.1b)); b) положення СМИБ (см 4.2.1а)); c) концепцію і засоби управління на підтримку СМІБ; d) опис методології оцінки ризику (см 4.2.1с)); e) звіт про оцінку ризику (см 4.2.1с) - 4.2.1g)); f) план скорочення ризику (см 4.2.2b)); g) документовану концепцію, необхідну організації для забезпечення ефективності планування, функціонування і управління процесами її інформаційної безпеки і опису способів виміру ефективності засобів управління (см 4.2.3с)); h) документи, потрібні цим Міжнародним Стандартом (см 4.3.3); і i) Твердження про Застосовність.ПРИМІТКА 1: У рамках цього Міжнародного Стандарту термін "документована концепція" означає, що концепція впроваджена, документована, виконується і дотримується.ПРИМІТКА 2: Розмір документації СМІБ в різних організаціях може коливатися залежно від: - - розміру організації і типу її активів; і - - масштабу і складності вимог безпеки і керованої системи.ПРИМІТКА 3: Документи і звіти можуть надаватися в будь-якій формі.^ 2.3.2 Контроль документів Документи, необхідні СМІБ, необхідно захищати і регулювати. Необхідно затвердити процедуру документації, необхідну для опису управлінських дій з, : a) встановленню відповідності документів певним нормам до їх публікації; b) перевірці і оновленню документів як необхідності, переутверждению документів; c) забезпеченню відповідності змін поточному стану виправлених документів; d) забезпеченню доступності важливих версій діючих документів; e) забезпеченню зрозумілості і читабельності документів; f) забезпеченню доступності документів тим, кому вони потрібні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, вживаних залежно від їх класифікації; g) встановленню достовірності документів із зовнішніх джерел; h) контролю поширення документів; i) попередженню неумисного використання документів, що вийшли із вживання; і j) застосуванню до них відповідного способу ідентифікації, якщо вони зберігаються просто про всяк випадок.^ 2.3.3 Контроль записівЗаписи повинні створюватися і зберігатися для того, щоб забезпечити підтвердження відповідності вимогам і ефективне функціонування СМИБ. Записи необхідно захищати і перевіряти. СМИБ повинна враховувати будь-які юридичні і регулятивні вимоги і договірні зобов'язання. Записи мають бути зрозумілі, легко идентифицируемы і відновлені. Засоби управління, необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання і знищення записів, мають бути документально затверджені і введені в дію. У записі необхідно включати інформацію про проведення заходів, описаних в 4.2, і про усі події і значущі для безпеки інциденти, що відносяться до СМИБ.ПРИКЛАД Прикладами записів є гостьова книга, протоколи аудиту і заповнені форми авторизації доступу.