66629

Норматино-правове регулювання захисту інформації та ISO 27 серії

Доклад

Государство и право, юриспруденция и процессуальное право

Метою захисту інформації має бути збереження цінності інформаційних ресурсів для їх власника. Ці технології мають ураховувати особливості інформації які й роблять її цінною а також давати змогу користувачам різних категорій працювати з інформаційними ресурсами...

Украинкский

2014-08-25

19.51 KB

0 чел.

            

II. Норматино-правове регулювання захисту інформації

                                      та ISO 27 серії.

Метою захисту інформації має бути збереження цінності інформаційних ресурсів для їх власника. Виходячи з цього, безпосередні заходи захисту спрямовують не так на самі інформаційні ресурси, як на збереження певних технологій їх створення, оброблення, зберігання, пошуку та надання користувачам. Ці технології мають ураховувати особливості інформації, які й роблять її цінною, а також давати змогу користувачам різних категорій працювати з інформаційними ресурсами (створювати, знаходити, копіювати, узагальнювати, порівнювати, модифікувати, перетворювати, знищувати тощо).

Основним законом, який регламентує відносини суб'єктів, що пов'язані із захистом інформації в комп'ютерних системах, є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», що набув чинності з 5 липня 1994 року.

Окремі нормативні документи визначають Вимоги до реалізації КЗЗ інформаційно-телекомунікаційних систем деяких конкретних типів. Такі документи містять опис типових властивостей систем, вимоги до їхніх обчислювальних систем, середовища користувачів, фізичного середовища, інформації разом із технологіями її оброблення. У них наведено мінімальні припустимі функціональні профілі та вимоги до реалізації кожної з функціональних послуг.

Але в вітчизняному законодавстві немає посилань на міжнародні стандарти, які представляють більш широкий спектр послуг та профілів захищеності.

Стандарти ж серії ISO 27000 містять правила, рекомендації та специфікації у сфері безпеки інформації для створення, розвитку й підтримки системи менеджменту інформаційної безпеки (СМІБ), яку ще називають системою управління інформаційною безпекою (СУІБ) (Information Security Management System, ISMS).

Згідно з вимогами ISO/IEC 27001 в основу розроблення СМІБ покладено модель PDCA (ПДПУ)

Планування (Plan) — етап розроблення СМІБ, створення переліку активів, оцінювання ризиків і добирання заходів;

Дія (Do) — етап реалізації та впровадження відповідних заходів;

Перевірка (Check) — етап оцінювання ефективності та продуктивності СМІБ, що переважно виконують внутрішні аудитори;

Удосконалення (Act) — виконання превентивних та коригуючих дій.

Керівні та загальні принципи побудови, реалізації, підтримки та покращення системи керування захистом інформації в організаціях визначені стандартом ISO/IEC 27002:2005. Стандарт містить рекомендації та загальні принципи з ініціювання, впровадження, супроводження й удосконалення управління безпекою інформації в організації. Стандарт можна використовувати як практичну рекомендацію з розроблення щасних стандартів організацій та ефективної практики управління безпекою інформації, а також для сприяння встановленню довірчих відносин під час взаємодії між. Організаціями.

Оскільки цей стандарт вирізняється з-поміж інших високим рівнем абстрактності та лаконізмом, його можуть успішно застосовувати висококваліфіковані та досвідчені фахівці з інформаційної безпеки. Завдяки прозорості стандарту та зручності його практичного застосування цей стандарт активно використовують у багатьох країнах світу.

Стандартом визначаються три головних джерела вимог до системи безпеки організації:

специфічні ризики порушення безпеки, які загрожують ресурсам організації і для яких оцінюють уразливість та ймовірність її виникнення, а також потенційний вплив;

набір правових  і договірних вимог, які мають виконувати організація, її торгівельні партнери, підрядники та постачальники послуг,

набір специфічних принципів, цілей та вимог до оброблення інформації, розроблений організацією.

Для організації забезпечення безпеки інформації визначено дві цілі управління:

Інфраструктура безпеки інформації організації (Internal organization). Для забезпечення захисту інформації слід створити відповідну структуру управління в організації. Необхідно проводити регулярні наради керівництва, присвячені коригуванню політики безпеки інформації, розподілу обов'язків із забезпечення захисту та координації дій, спрямованих на підтримку режиму безпеки. За потреби для консультацій слід залучити фахівців відповідного рівня. З метою обміну досвідом необхідно встановлювати контакти з фахівцями інших організацій. Слід всебічно впроваджувати комплексний підхід до розв'язання проблем безпеки інформації.  

Питання безпеки доступу сторонніх організацій (External parties). Під час взаємодії із сторонніми організаціями, зокрема, у разі застосування їхніх продуктів або послуг, необхідно унеможливити компрометацію безпеки інформації. Для цього слід уживати узгоджених з іншими організаціями заходів із підтримки режиму безпеки. Потрібно провести аналіз ризиків і визначити вимоги до засобів управління, що знижують ці ризики» Відповідні засоби та заходи управління мають бути зафіксовані в угоді зі сторонньою організацією.

Організація має чітко усвідомлювати, якими інформаційними ресурсами вона володіє, і керувати їхньою безпекою належним чином.

Найпоширенішим міжнародним стандартом, який регулює комплекс питань із захисту інформації в організаціях або на підприємствах, є ISO/IEC 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління безпекою інформації» (до липня 2007 року — ISO/IEC 17799:2005).

Стандарт дає практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем керування інформаційною безпекою. Інформаційна безпека визначається стандартом як збереження конфіденційності (впевненості в тому, що інформація доступна лише тим, хто уповноважений мати такий доступ), цілісності (гарантія точності та повноти інформації, а також методів її обробки та доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та пов'язаними з нею ресурсами).

Оскільки цей стандарт вирізняється з-поміж інших високим рівнем абстрактності та лаконізмом, його можуть успішно застосовувати висококваліфіковані та досвідчені фахівці з інформаційної безпеки. Завдяки прозорості стандарту та зручності його практичного застосування цей стандарт активно використовують у багатьох країнах світу.

В Україні діє нормативний документ НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій системі». Він регулює всі аспекти створення та діяльності структурного підрозділу або окремих осіб, відповідальних за безпеку інформації, що обробляється в ІТС.

У додатку до «Типового положення про службу захисту інформації в автоматизованій системі» наведено вимоги щодо розроблення й оформлення керівних документів, на основі яких вживають заходи із захисту інформації. Ці документи утворюють так званий План захисту як окремі його розділи або як пакет окремих документів.

Як можна побачити, стандарт ISO/IEC 27002 і НД ТЗІ 1.4-001-2000 здебільшого висувають дуже схожі вимоги до принципів побудови комплексних систем захисту інформації в інформаційно-телекомунікаційних системах. Обидва документи відображають сучасні погляди та підходи до забезпечення інформаційної безпеки організації. Проте в міжнародному стандарті ISO/IEC 27002 на відміну від вітчизняних нормативних документів, об’єктом захисту є процес обробки та збереження інформації, а не інформаційно-телекомунікаційна система.

Потрібно зауважити, що Росія, на відміну від України, прийняла стандарт ISO/IEC 27002:2005  на державному рівні – ГОСТ Р ИСО\МЭК 17799-2005

Виконання вимог стандартів серії ISO 27000 дозволяє підприємствам формалізувати й структурувати процеси керування інформаційною безпекою по наступних напрямках:

            розробка політики безпеки;

            організація інформаційної безпеки, яка допомагає здійснити організацію керування внутрішнім і зовнішнім інформаційним полем, активами й ресурсами, що становлять основу ключових бізнес-процесів компанії.

Ефективний захист інформаційних ресурсів компанії, сформований згідно з вимогами стандартів серії ISO 27000, забезпечує зниження внутрішніх загроз, фізичну безпеку й безпеку навколишнього середовища, керування засобами зв'язку й експлуатацією устаткування.

Наслідування  принципів стандартів серії ISO 27000 забезпечує керування й контроль доступу, розробку й обслуговування апаратно-програмних систем; керування безперервністю бізнес-процесів.

Відповідність вимогам стандарту ISO 27002 і дотримання правових норм з безпеки є необхідним для сталого розвитку бізнесу. Система керування інформаційною безпекою ISO/IEC 27002 забезпечує:

            оптимізацію управлінських процесів;

            підвищення ефективності функціонування і захищеності інформаційних систем.

Для бізнесу, у цілому, можна виділити наступні переваги:

            підвищення керованості й надійності;

            підвищення захищеності ключових бізнес-процесів;

            підвищення довіри до організації з боку клієнтів і інвесторів;

            підтвердження прозорості;

            спрощення процедури виходу на зовнішні ринки;

            підвищення авторитету організації, як на внутрішніх, так і на зовнішніх ринках.

  Р. Литвинов


 

А также другие работы, которые могут Вас заинтересовать

81475. Пищевые жиры и их переваривание. Всасывание продуктов переваривания. Нарушение переваривания и всасывания. Ресинтез триацилглицеринов в стенке кишечника 106.8 KB
  Переваривание жиров происходит в тонком кишечнике однако уже в желудке небольшая часть жиров гидролизуется под действием липазы языка . Однако вклад этой липазы в переваривание жиров у взрослых людей незначителен. Поэтому действию панкреатической липазы гидролизующей жиры предшествует эмульгирование жиров. Переваривание жиров гидролиз жиров панкреатической липазой.
81476. Образование хиломикронов и транспорт жиров. Роль апопротеинов в составе хиломикронов. Липопротеинлипаза 106.5 KB
  Липиды в водной среде а значит и в крови нерастворимы поэтому для транспорта липидов кровью в организме образуются комплексы липидов с белками липопротеины. ЛП хорошо растворимы в крови не коалесцируют так как имеют небольшой размер и отрицательный заряд на поверхности. В лимфе и крови с ЛПВП на ХМ переносятся апопротеины Е апоЕ и СП апоСП; ХМ превращаются в зрелые . ХМ имеют довольно большой размер поэтому после приёма жирной пищи они придают плазме крови опалесцирующий похожий на молоко вид.
81477. Биосинтез жиров в печени из углеводов. Структура и состав транспортных липопротеинов крови 153.12 KB
  В жировой ткани для синтеза жиров используются в основном жирные кислоты освободившиеся при гидролизе жиров ХМ и ЛПОНП. Молекулы жиров в адипоцитах объединяются в крупные жировые капли не содержащие воды и поэтому являются наиболее компактной формой хранения топливных молекул. В гладком ЭР гепатоцитов жирные кислоты активируются и сразу же используются для синтеза жиров взаимодействуя с глицерол3фосфатом.
81478. Депонирование и мобилизация жиров в жировой ткани. Регуляция синтеза и мобилизации жиров. Роль инсулина, глюкагона и адреналина 107.09 KB
  Регуляция синтеза и мобилизации жиров. Какой процесс будет преобладать в организме синтез жиров липогенез или их распад липолиз зависит от поступления пищи и физической активности. Регуляция синтеза жиров.
81479. Основные фосфолипиды и гликолипиды тканей человека (глицерофосфолипиды, сфингофосфолипиды, гликоглицеролипиды, гликосфиголипиды). Представление о биосинтезе и катаболизме этих соединений 264.19 KB
  Функции гликосфинголипидов можно суммировать следующим образом: Взаимодействие между: клетками; клетками и межклеточным матриксом; клетками и микробами. Церамид служит предшественником в синтезе большой группы сфинголипидов: сфингомиелинов не содержащих углеводов и гликосфинголипидов. В распаде сфингомиелинов участвуют 2 фермента сфингомиелиназа отщепляющая фосфорилхолин и церамидаза продуктами действия которой являются сфингозин и жирная кислота Катаболизм гликосфинголипидов. Катаболизм гликосфинголипидов начинается с перемещения их...
81480. Нарушение обмена нейтрального жира (ожирение), фосфолипидов и гликолипидов. Сфинголипидозы 124.68 KB
  Сфинголипиды метаболизм: заболевания сфинголипидозы таблица Заболевание Фермент недостаточностькоторого обусловливает заболевание Накапливающийся :липид : Клинические симптомы Фукозидоз альфаФукозидаза CerGlcGlNcCl:Fuc НИзоантиген Слабоумие спастическое состояние мышц утолщение кожи Генерализованный ганглиозидоз GM1бетаГалактозидаза CerGlcGlNeucGlNc:Gl Ганглиозид GM1 Умственная отсталость увеличениепечени деформация скелета Болезнь ТеяСакса Гексозаминидаза А CerGlcGlNeuc:GlNc Ганглиозид GM2 Умственная отсталость...
81481. Строение и биологические функции эйкозаноидов. Биосинтез простагландинов и лейкотриенов 107.74 KB
  Биосинтез простагландинов и лейкотриенов. Структура номенклатура и биосинтез простагландинов и тромбоксанов Хотя субстраты для синтеза эйкозаноидов имеют довольно простую структуру полистовые жирные кислоты из них образуется большая и разнообразная группа веществ. Структура и номенклатура простагландинов и тромбоксанов Простагландины обозначают символами например PG А где PG обозначает слово простагландин а буква А обозначает заместитель в пятичленном кольце в молекуле эйкозаноида. Каждая из указанных групп простагландинов состоит из 3...
81482. Холестерин как предшественник ряда других стероидов. Представление о биосинтезе холестерина. Написать ход реакций до образования мевалоновой кислоты. Роль гидроксиметилглутарил-КоА-редуктазы 165.9 KB
  В печени синтезируется более 50 холестерола в тонком кишечнике 15 20 остальной холестерол синтезируется в коже коре надпочечников половых железах. В сутки в организме синтезируется около 1 г холестерола; с пищей поступает 300500 мг Холестерол выполняет много функций: входит в состав всех мембран клеток и влияет на их свойства служит исходным субстратом в синтезе жёлчных кислот и стероидных гормонов. Предшественники в метаболическом пути синтеза холестерола превращаются также в убихинон компонент дыхательной цепи и долихол...
81483. Синтез желчных кислот из холестерина. Конъюгация желчных кислот, первичные и вторичные желчные кислоты. Выведение желчных кислот и холестерина из организма 104.99 KB
  Конъюгация желчных кислот первичные и вторичные желчные кислоты. Выведение желчных кислот и холестерина из организма. Жёлчные кислоты синтезируются в печени из холестерола.