Вернуться: к Проекту «Многие грани безопасности" / Нормативная база по безопасности / Международные нормативно-правовые акты по безопасности / Управление информационной безопасностью
Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
Управление информационной безопасностью (см. Управление информационной безопасностью) позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов.
Информационная безопасность состоит из трех основных компонентов:
Информация (см. Информация) существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты.
Информация и поддерживающие ее информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения конкурентоспособности, движения денежной наличности, рентабельности, соответствия правовым нормам и имиджа организации. Современные организации могут столкнуться с возрастающей угрозой нарушения режима безопасности, исходящей от целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм, а также другие источники отказов и аварий. Появляются все новые угрозы, способные нанести ущерб организации, такие, как, широко известные компьютерные вирусы или хакеры. Предполагается, что такие угрозы информационной безопасности со временем станут более распространенными, опасными и изощренными. В то же время из-за возрастающей зависимости организаций от информационных систем и сервисов, они могут стать более уязвимыми по отношению к угрозам нарушения защиты. Распространение вычислительных сетей предоставляет новые возможности для несанкционированного доступа к компьютерным системам, а тенденция к переходу на распределенные вычислительные системы уменьшает возможности централизованного контроля информационных систем специалистами.
Защитные меры оказываются значительно более дешевыми и эффективными, если они встроены в информационные системы и сервисы на стадиях задания требований и проектирования. Чем скорее организация примет меры по защите своих информационных систем, тем более дешевыми и эффективными они будут для нее впоследствии.
Предлагаемые практические правила разбиты на следующие 10 разделов:
Раздел 1. Политика безопасности
Раздел 2. Организация защиты
Раздел 3. Классификация ресурсов и их контроль
Раздел 4. Безопасность персонала
Раздел 5. Физическая безопасность и безопасность окружающей среды
Раздел 6. Администрирование компьютерных систем и вычислительных сетей
Раздел 7. Управление доступом к системам
Раздел 8. Разработка и сопровождение информационных систем
Раздел 9. Планирование бесперебойной работы организации
Раздел 10. Выполнение требований
В этих разделах представлен исчерпывающий набор средств управления безопасностью, основанных на реальных мерах по защите информации, реализуемых в настоящее время в британских и международных организациях.
Не все средства контроля применимы к каждой информационной среде; их следует использовать выборочно с учетом местных условий. Это становиться ясно из описания. Однако большинство средств контроля, описанных в данном документе, широко применяются крупными организациями с большим опытом работы, и их использование рекомендуется для всех ситуаций, разумеется, с учетом ограничений, накладываемых технологией и окружающей средой. Эти общепринятые средства контроля часто называют базовыми средствами управления безопасностью, поскольку все они в совокупности определяют базовый промышленный стандарт на поддержание режима безопасности.
Десять средств контроля, предлагаемых в настоящих практических правилах (они обозначены как ключевые), считаются особенно важными. Эти ключевые средства являются хорошей отправной точкой для управления информационной безопасностью. Они описаны более подробно в разделе ╚Ключевые средства контроля╩.
При использовании некоторых из средств контроля, например, шифрование данных, могут потребоваться советы специалистов по безопасности и оценки рисков, чтобы определить, нужны ли они и каким образом их реализовать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия исключительно высоким уровням угроз нарушения режима безопасности, в ряде случаях могут потребоваться другие (более сильные) средства контроля, которые выходят за рамки данных правил.
Десять ключевых средств контроля представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля применимы ко всем организациях и средам и отмечены символом ключа. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.
Ключевыми являются следующие средства контроля:
Существуют три основных группы требований к системе безопасности в любой организации. Первая группа требований — это уникальный набор рисков нарушения безопасности, состоящий из угроз, которым подвергаются информационные ресурсы, и их слабостей и возможное воздействие этих рисков на работу организации. Большинство из этих рисков описаны в настоящих правилах и им можно успешно противостоять, если воспользоваться приведенными здесь рекомендациями. Однако существуют риски, требующие специального обращения, и их необходимо рассматривать с учетом их оценки в каждой конкретной организации или для каждого конкретного компонента системы.
Вторая группа требований — это набор правовых и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг; при этом возрастает необходимость стандартизации по мере распространения электронного обмена информацией по сетям между организациями. Данные практические правила могут служить надежной основой для задания общих требований этого типа.
Третья группа требований — это уникальный набор принципов, целей и требований к обработке информации, который разработан организацией для производственных целей. Важно (например, для обеспечения конкурентоспособности), чтобы в политике безопасности были отражены эти требования, и жизненно важно, чтобы реализация или отсутствие средств управления безопасностью в информационной инфраструктуре не мешали производственной деятельности организации.
Привлечение надлежащих средств контроля и требуемая гибкость с самого начала процесса планирования информационных систем являются необходимыми условиями для успешного завершения работы.
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Обычно методики анализа рисков (см. Анализ рисков) применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассмотривать следующие аспекты:
Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля, рекомендуемых в настоящих практических правилах. Оценка этих двух аспектов риска зависит от следующих факторов:
Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.
Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:
Не существует единой оптимальной структуры защиты информации. Каждая категория пользователей (см. Специальная привилегия) или специалистов по информационным технологиям, работающих в конкретной среде, может иметь свой собственный, отличающийся от других, набор требований, проблем и приоритетов, в зависимости от функций конкретной организации и производственной или вычислительной среды.
Многие организации решают эту проблему, разрабатывая набор отдельных руководящих принципов для соответствующих групп сотрудников, чтобы обеспечить более эффективное распространение знаний в области защиты информации. Организациям, решившим принять другую структуру (или даже разработать свои рекомендации), желательно ввести перекрестные ссылки на текст настоящих правил, чтобы их будущие деловые партнеры или аудиторы могли установить прямые связи между этим стандартом и принятыми в данной организации принципами системы защиты информации.