Автор работы: Пользователь скрыл имя, 29 Марта 2012 в 00:17, курсовая работа
Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.
Предисловие
Введение
Что такое информационная безопасность?
Почему необходимо защищаться?
Сруктура документа
Все ли средства управления безопасностью применимы?
Ключевые средства контроля
Задание требований к информационной безопасности организации
Оценка рисков нарушения безопасности
Факторы, необходимые для успеха
Разработка собственных рекомендаций
Раздел 0 Общие положения
Назначение
Информативные ссылки
Термины и определения
Раздел 1 Политика безопасности
Политика информационной безопасности
Раздел 2 Организация защиты
Инфраструктура информационной безопасности
Безопасность доступа сторонних организаций
Идентификация рисков, связанных с подключениями сторонних организаций
Условия безопасности в контрактах, заключенных со сторонними организациями
Раздел 3 Классификация ресурсов и их контроль
Ответственность за ресурсы
Классификация информации
Раздел 4 Безопасность персонала
Безопасность в должностных инструкциях и при выделении ресурсов
Обучение пользователей
Реагирование на события, таящие угрозу безопасности
Раздел 5 Физическая безопасность и безопасность окружающей среды
Защищенные области
Защита оборудования
Раздел 6 Администрирование компьютерных систем и вычислительных сетей
Операционные процедуры и обазанности
Планирование систем и их приемка
Защита от вредоносного программного обеспечения
Обслуживание систем
Сетевое администрирование
Оперирование с носителями информации и их защита
Обмен данными и программами
Раздел 7 Управление доступом к системам
Производственные требования к управлению доступом к системам
Управление доступом пользователей
Обязанности пользователей
Управление доступом к сети
Управление доступом к компьютерам
Управление доступом к приложениям
Слежение за доступом к системам и их использованием
Раздел 8 Разработка и сопровождение информационных систем
Требования к безопасности систем
Безопасность в прикладных системах
Защита файлов прикладных систем
Безопасность в среде разработки и рабочей среде
Раздел 9 Планирование бесперебойной работы организации
Вопросы планирования бесперебойной работы организации
Раздел 10 Выполнение требований
Выполнение правовых требований
Проверка безопасности информационных систем
Аудит систем
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Обычно методики анализа рисков (см. Анализ рисков) применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассмотривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля, рекомендуемых в настоящих практических правилах. Оценка этих двух аспектов риска зависит от следующих факторов:
Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.
Факторы, необходимые для успеха
Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:
а) цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;
б) явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;
в) хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;
г) ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;
д) предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.
Разработка собственных рекомендаций
Не существует единой оптимальной структуры защиты информации. Каждая категория пользователей (см. Специальная привилегия) или специалистов по информационным технологиям, работающих в конкретной среде, может иметь свой собственный, отличающийся от других, набор требований, проблем и приоритетов, в зависимости от функций конкретной организации и производственной или вычислительной среды.
Многие организации решают эту проблему, разрабатывая набор отдельных руководящих принципов для соответствующих групп сотрудников, чтобы обеспечить более эффективное распространение знаний в области защиты информации. Организациям, решившим принять другую структуру (или даже разработать свои рекомендации), желательно ввести перекрестные ссылки на текст настоящих правил, чтобы их будущие деловые партнеры или аудиторы могли установить прямые связи между этим стандартом и принятыми в данной организации принципами системы защиты информации.
Раздел 0 Общие положения
Назначение
В предлагаемом британском стандарте приводятся рекомендации по управлению информационной безопасностью. Он составляет общую основу для различных организаций при разработке, реализации и оценке эффективности процедур управления безопасностью, а также позволяет установить доверительные отношения между организациями.
Примечание. Данный документ можно использовать в качестве общепринятого стандарта при установлении деловых отношений между организациями и при заключении контрактов с субподрядчиками или приобретении информационных систем или продуктов.
Информативные ссылки
В предлагаемом британском стандарте приводятся ссылки на другие публикации, в которых дается дополнительная информация по рассмотренным здесь вопросам. На внутренней стороне обложки приведены ссылки на ряд источников, причем на издания, вышедшие к моменту публикации настоящего документа.
Термины и определения
В настоящем стандарте используются следующие термины.
Доступность Элемент информационной безопасности (см. Информационная безопасность)
Конфиденциальность Элемент информационной безопасности (см. Информационная безопасность)
Данные Представление фактов, понятий и инструкций в нормализованном виде, подходящем для передачи, интерпретации и обработки человеком или машиной.
Сигнал тревоги, предупреждающий о принужденииМеханизм, с помощью которого пользователь (см. Пользователь) может предупредить компьютерную систему (см. Пользователь) о том, что вход в нее осуществляется под принуждением.
Примечание. Для подачи сигнала тревоги можно использовать альтернативный пароль или подстановку/включение специальных символов в пароль.
Информация Смысл, который в настоящее время придается данным, посредством соответствующих соглашений.
Информационная безопасность Защита информации, ее составляющие:
а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
б) целостность: обеспечение точности и полноты информации и компьютерных программ;
в) доступность: обеспечение доступности информации и жизненно важных сервисов для пользователя, когда это требуется.
Управление информационной безопасностью Обеспечение механизма, позволяющего реализовать информационную безопасность (см. Информационная безопасность).
Информационная технология Научная, технологическая и инженерная дисциплина и управление методами, используемыми для оперирования с данными и их обработки; их прикладное применение; компьютеры и их взаимодействие с человеком и машинами; а также связанные с этим социальные, экономические и культурные вопросы.
Целостность Элемент информационной безопасности (см. Информационная безопасность).
Организация Группа людей, совместно отвечающих за выполнение определенных работ.
Примечание. Например, компания, местный орган власти, академическое учреждение.
Владелец Лицо или организация, отвечающая за определенные информационные ресурсы и за реализацию надлежащих защитных мер.
Анализ рисков Всеобъемлющий термин, включающий, во-первых, определение и анализ потенциальных угроз, которым подвергаются компьютерные системы, и их уязвимости, и, во-вторых, предоставление руководству информации, необходимой для принятия решений, связанных с оптимизацией капиталовложений в меры по обеспечению информационной безопасности.
Инцидент в системе безопасности Событие, в результате которого произошла (или могла бы произойти) потеря или повреждение информационных ресурсов организации, либо действие, которое нарушает принятые в организации правила безопасности.
Специальная привилегия Любая особенность или средство многопользовательской информационной системы, дающая возможность пользователю (см. Пользователь) обойти средства контроля системы или приложения.
Пользователь Лицо или организация, использующая информационные технологиии (см. Информационная технология).
Примечание. См. также объявление в BS ISO 2382-1.
Задание требований к информационной безопасности организации
Существуют три основных группы требований к системе безопасности в любой организации. Первая группа требований — это уникальный набор рисков нарушения безопасности, состоящий из угроз, которым подвергаются информационные ресурсы, и их слабостей и возможное воздействие этих рисков на работу организации. Большинство из этих рисков описаны в настоящих правилах и им можно успешно противостоять, если воспользоваться приведенными здесь рекомендациями. Однако существуют риски, требующие специального обращения, и их необходимо рассматривать с учетом их оценки в каждой конкретной организации или для каждого конкретного компонента системы.
Вторая группа требований — это набор правовых и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг; при этом возрастает необходимость стандартизации по мере распространения электронного обмена информацией по сетям между организациями. Данные практические правила могут служить надежной основой для задания общих требований этого типа.
Третья группа требований — это уникальный набор принципов, целей и требований к обработке информации, который разработан организацией для производственных целей. Важно (например, для обеспечения конкурентоспособности), чтобы в политике безопасности были отражены эти требования, и жизненно важно, чтобы реализация или отсутствие средств управления безопасностью в информационной инфраструктуре не мешали производственной деятельности организации.
Привлечение надлежащих средств контроля и требуемая гибкость с самого начала процесса планирования информационных систем являются необходимыми условиями для успешного завершения работы.
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Обычно методики анализа рисков (см. Анализ рисков) применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассматривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля, рекомендуемых в настоящих практических правилах. Оценка этих двух аспектов риска зависит от следующих факторов:
Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.
Факторы, необходимые для успеха
Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:
а) цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;
б) явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;
в) хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;
г) ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;
д) предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.
Разработка собственных рекомендаций
Не существует единой оптимальной структуры защиты информации. Каждая категория пользователей (см. Специальная привилегия) или специалистов по информационным технологиям, работающих в конкретной среде, может иметь свой собственный, отличающийся от других, набор требований, проблем и приоритетов, в зависимости от функций конкретной организации и производственной или вычислительной среды.
Многие организации решают эту проблему, разрабатывая набор отдельных руководящих принципов для соответствующих групп сотрудников, чтобы обеспечить более эффективное распространение знаний в области защиты информации. Организациям, решившим принять другую структуру (или даже разработать свои рекомендации), желательно ввести перекрестные ссылки на текст настоящих правил, чтобы их будущие деловые партнеры или аудиторы могли установить прямые связи между этим стандартом и принятыми в данной организации принципами системы защиты информации.
Раздел 1 Политика безопасности
Политика информационной безопасности
Цель: Сформулировать цель и обеспечить поддержку информационной безопасности руководством организации.
Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку информационной безопасности посредством распространения политики безопасности среди сотрудников организации.
Документ о политике информационной безопасности
Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности.
Высшее руководство должно предоставить задокументированную политику информационной безопасности всем подразделениям организации. Этот документ должен содержать по крайней мере следующее: