Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4629 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
Информационная безопасность
Файл:
Дипломная Работа (2).docx
Скачиваний:
43
Добавлен:
08.06.2023
Размер:
1.67 Mб
Скачать
►Содержание►

1.4 Нормативно-правовая основа создания системы физической защиты информации

Для разработки системы физической защиты информации, необходимо иметь нормативно-правовую базу.

Множество законов и нормативных актов прямо или косвенно регулируют различные требования информационной безопасности и защиты информации для любого конкретного предприятия. Понимание того, как эти законы и правила влияют на потребность компании в безопасности, поможет компаниям избежать дорогостоящих судебных исков, потери общественного доверия и репутации и ненужных простоев.

Однако одного только соблюдения законодательства недостаточно, чтобы сделать большинство компаний действительно безопасными. Компании должны будут сделать гораздо больше, чтобы обеспечить себе эффективную безопасность. При этом эти законы и правила могут служить хорошей отправной точкой для определения целей компании в области информационной безопасности и защиты информации, поскольку соблюдение этих законов является абсолютной необходимостью в любом плане кибербезопасности.

Нормативно-правовой основой создания системы обеспечения информационной безопасности и защиты информации являются федеральные и международные законы, правила и рекомендации.

Среди основных документов по защите информации, в первую очередь, Конституция Российской Федерации [15]. В ст. 23 устанавливается право на неприкосновенность частной жизни, личную и семейную тайну, тайну телефонных переговоров, почтовых и других сообщений. В этом случае ограничение этого права допускается только на основании судебного решения. Конституция Российской Федерации не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Основные законы Российской Федерации, также «О государственной тайне» 21 июля 1993 года № 5485-1; «О коммерческой тайне» от 29 июля 2004 года (он содержит информацию, которая является коммерческой тайной, коммерческую тайну, разглашение сведений, составляющих коммерческую тайну) и постановления правительства «Об утверждении перечня сведений, которые не могут быть коммерческой тайной», «Об утверждении перечня конфиденциальной информации», «Об утверждении перечня сведений, составляющих государственную тайну». Ряд подзаконных нормативных актов регулируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан Российской Федерации: «Об утверждении Положения о лицензировании деятельности по технической защите конфиденциальной информации» и т. д. [16-18]

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуального кодексом, он содержит положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых, телефонных и иных сообщений.

Нормы, регулирующие отношения, возникающие при работе с конфиденциальной информацией, также содержатся в Гражданском кодексе. Критерии, по которым информация является конфиденциальной и коммерческой тайной, содержатся в ст.139 Гражданского кодекса. В нем говорится, что информация является служебной или коммерческой тайной в случае, когда:

  • информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

  • информация не является свободно доступной на законном основании, и обладатель принимает меры по охране ее конфиденциальности.

Уголовный кодекс содержит ряд положений, касающихся защиты информации с ограниченным доступом и ответственности за ее неправильное использование.

Особый вид ответственности установлен за нарушение коммерческой тайны: лишение соответствующей сертификации, лицензии уполномоченным органом. Но привлечение к этому типу ответственности, как правило, не получило к настоящему времени широкого распространения.

Для разработки системы обеспечения информационной безопасности и защиты информации необходимо включать стандарты — лучшие практики, которые были собраны и проверены доверенной организацией.

Система безопасности информации основана на международном стандарте для информационной безопасности ISO 17799 («Правила и нормы при обеспечении безопасности информации»). ISO 17799 содержит общие рекомендации по организации информационной безопасности, обеспечивая базовый уровень безопасности информационных систем, типичных для большинства организаций. Когда это стандарт описывает вопросы, которые необходимо учитывать при проектировании системы и не накладывает ограничений на использование конкретных компонентов инструменты инфраструктуры безопасности. ISO 17799 содержит следующие разделы описывают различные аспекты безопасности информационных систем [19]:

  • стратегия информационной безопасности — описывает необходимость иметь поддержку высшего руководства путем принятия стратегии информационной безопасности;

  • институциональная — дает представление о форме организации, для оптимального внедрения системы информационной безопасности;

  • классификация информационных ресурсов — описывает необходимые шаги для обеспечения безопасности информационных ресурсов и средств массовой информации;

  • управление персоналом — описывает влияние человеческого фактора на информационную безопасность и мер, направленных на снижение риска, связанного с ней;

  • физическая безопасность — описывает меры по обеспечению физической безопасности компонентов для информационных инфраструктур;

  • администрация информационных систем — описывает основные аспекты безопасности при работе серверов, рабочих станций и других информационных систем;

  • контроль доступа — описывает необходимость четкого различия между правами и обязанностями при работе с информацией;

  • разработка и сопровождение информационных систем — описывает ключевые механизмы по обеспечению безопасности информационных систем;

  • непрерывность бизнеса — описывается деятельность по обеспечению непрерывной работы организаций;

  • технические требования — описывает общие требования к информационной безопасности и мерам по проверке соответствия систем информационной безопасности с этими требованиями.

В разделах 9 и 10 приведено описание выбора защитных мероприятий на основании документов по базовой безопасности, которые могут быть использованы или для системы ИТ, или для образования пакета защитных мероприятий для ряда систем ИТ, которые применяемы в определенных условиях. В разделе 10 предложен подход, который направлен на решение проблем безопасности от угроз, который позволяет разработать оптимальный пакет защитных мероприятий. Разделы 9 и 10 организация может применять для выбора защитных мероприятий без детальных оценок всех вариантов, которые подпадают под область использования безопасности. Однако и при более детальной оценке, т.е. при детальном анализе рисков, при выборе защитных мероприятий разделы 9 и 10 все еще будут полезными.

Используем схему выбора защитных мероприятий, описание которых приведено в разделах 7, 9 и 10 (рисунок 1.1).

Международная организация по стандартизации и Международная электротехническая комиссия (МЭК) совместно опубликовали серию стандартов МОС/МЭК 27000, касающихся информационной безопасности.

ISO 27001 дает основу для принятия решения о соответствующей защите. Точно так же, как, например, нельзя скопировать маркетинговую кампанию другой компании в свою, этот же принцип действует и в отношении информационной безопасности — его нужно адаптировать под свои нужды.

Рисунок 1.1 — Выбор защитных мер по Стандарту

Способ, которым ISO 27001 говорит для достижения этого индивидуального метода зашиты информации, заключается в оценке рисков и обработке рисков. Это не что иное, как систематический обзор информационных опасностей, которые могут случиться в компании (оценка рисков), а затем принятие решения о том, какие меры безопасности следует принять, чтобы предотвратить эти опасности (обработка рисков) (рисунок 1.2).

Рисунок 1.2 — Метод выбора защиты в ISO 27001

Вся идея здесь в том, что у организации имеется возможность реализовывать только те меры безопасности, которые необходимы из-за рисков, но эта логика также означает, что нужно реализовать все элементы управления, которые требуются из-за рисков, и что нельзя исключить некоторые из них просто потому, что они не нравятся.

Большинство инцидентов происходит не из-за поломки компьютеров, а из-за того, что пользователи из бизнес-подразделения организации неправильно используют информационные системы.

И такие нарушения не могут быть предотвращены только техническими мерами безопасности — необходимы также четкие политики и процедуры, обучение и осведомленность, юридическая защита, дисциплинарные меры и т. д. Реальный опыт показывает, что чем разнообразнее применяются меры безопасности, тем выше их уровень. безопасности достигается.

А если не вся конфиденциальная информация находится в цифровом виде (вероятно, все еще есть бумаги с конфиденциальной информацией), то можно сделать вывод, что ИТ-защиты недостаточно, и что ИТ-отдел, хотя и очень важный в проекте по информационной безопасности, не может запустить такой проект в одиночку.

В ISO 27001 признано, что ИТ-безопасность составляет только 50% информационной безопасности — этот стандарт говорит о том, как запустить внедрение информационной безопасности в рамках проекта в масштабах компании, в котором участвуют не только ИТ, но и бизнес-сторона организации.

ISO 27001 дает вам систематический контрольный список того, что должно делать высшее руководство:

  • установить свои бизнес-ожидания (цели) в отношении информационной безопасности;

  • опубликовать политику о том, как контролировать, оправдываются ли эти ожидания;

  • определить основные обязанности по информационной безопасности;

  • предоставить достаточно денег и человеческих ресурсов;

  • регулярно проверять, действительно ли оправдались все ожидания по информационной безопасности и защите информации.

В ISO 27001 описано несколько методов для улучшения безопасности с течением времени, делая ее еще лучше, чем она была в то время, когда проект был на пике своего развития. Эти методы включают мониторинг и измерение, внутренние аудиты, корректирующие действия и т. д.

Управление рисками в ISO 27001 представляет собой шесть основных шагов (рисунок 1.3).

1) Методология оценки рисков ISO 27001

Необходимо определить правила того, как будет осуществляться управление рисками: определить, необходима качественная или количественная оценка риска, какие шкалы предполагается использовать для качественной оценки, каков будет приемлемый уровень риска и т. д.

2) Реализация оценки рисков

Перечислить все активы, затем угрозы и уязвимости, связанные с этими активами, оценить влияние и вероятность для каждой комбинации активов/угроз/уязвимостей, вычислить уровень риска.

Рисунок 1.3 — Основные этапы оценки и обработки рисков по ISO 27001

3) Реализация обработки рисков

Необходимо сосредоточиться на самых важных, так называемых «неприемлемых рисках».

При реализации обработки рисков в соответствии с ISO 27001 можно выбрать один из четырех вариантов обработки (т. е. смягчения) каждого неприемлемого риска.

4) Отчет об оценке и избавления от рисков

Нужно задокументировать все, что было сделано в предыдущих пунктах.

5) Заявление о применимости

Этот документ фактически показывает профиль безопасности компании — на основе результатов обработки рисков в соответствии с ISO 27001 необходимо перечислить все средства контроля, которые внедрили, почему их внедрили и как.

6) План обработки рисков

Это шаг, на котором необходимо перейти от теории к практике.

Цель Плана обработки рисков — точно определить, кто будет внедрять каждый элемент управления, в какие сроки, с каким бюджетом и т. д.

ISO/IEC 27005 — это стандарт, предназначенный исключительно для управления рисками информационной безопасности. Это очень полезно, если необходимо получить более глубокое представление об оценке и устранении рисков информационной безопасности.

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности