Please enable JavaScript.
Coggle requires JavaScript to display documents.
СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ - Coggle Diagram
СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ
БЕЗПЕКОЮ
Теорія управління інформаційною безпекою
Система
сукупність взаємозалежних елементів
утворює цілісність
виконує певну функцію
елементи мають взаємодіяти один з іншим
може розглядатися як підсистема деякої більшої системи
Системний підхід
спосіб мислення й аналізу
СУІБ
Система управління інформаційною безпекою
сукупність взаємопов'язаних елементів
мають спільну мету
забезпечення безпеки інформації
СУІБ лише тоді стане системою, коли будуть установлені логічні зв'язки
між усіма її складовими
Для вирішення питань організації такої взаємодії потрібно перейти від технічного на логічний рівень уявлення процесів створення і функціонування систем управління І Б.
Практика показує, що проблема безпеки інформаційних технологій складна, різнопланова і пов'язана з вирішенням широкого спектра завдань, а саме
– побудови раціональних методів і моделей оцінки рівня безпеки
інформаційних ресурсів;
– проведення аудиту та експертиз стану безпеки інформаційно-комунікаційних систем;
– оцінки ефективності заходів щодо інформаційної безпеки;
– розроблення ефективних апаратних і програмних засобів для
реалізації алгоритмів методів і моделей СУІБ.
На жаль, вітчизняні документи НД ТЗІ не враховують постійної перебудови структури ІС, що захищаються, та не містять практичних рекомендацій з формування режиму безпеки.
Іншими словами, ці рекомендації не дають відповідей на два головних із практичної точки зору запитання:
Як створювати розподілену корпоративну інформаційну систему, щоб вона відповідала вимогам безпеки інформації?
Як практично сформувати політику безпеки й підтримувати її в умовах постійної зміни конфігурації програмно-апаратних засобів й структури самої системи?
Створення СУІБ має свої відмінні властивості, а саме:
– глобальну мету функціонування з багаторівневим, складним комплексом взаємопов'язаних цілей;
– велику кількість функціональних задач, різних за властивостями, що
комплексно взаємодіють і складають велику багаторівневу систему;
– складну, багаторівневу організацію взаємодії структурних елементів системи
– багаторівневий характер та складну динаміку функціонування СУІБ.
Система управління інформаційною безпекою «Матриця».
Три взаємопов'язані групи
складових СУІБ
З чого складається (Основи).
Як працює (Етапи).
Для чого призначена (Напрямки).
СУІБ «Матриця» - це інформаційно-методичний інструмент управління інформаційною безпекою, який є простим, універсальним і ефективним засобом створення, управління, контролю й оцінки ефективності процесів забезпечення інформаційної безпеки в інформаційних системах.
СУІБ «Матриця» базується на принципах
системного підходу до управління ІБ,
вона увібрала в себе знання і кращі практики провідних компаній у сфері забезпечення І Б.
Впровадження СУІБ «Матриця» на підприємствах України дозволить:
– об'єднати зусилля різних фахівців (ІТ, ІБ, внутрішнього аудиту) єдиним задумом, методичним апаратом, механізмом управління;
– контролювати стан СУІБ і формувати варіанти рішень з підвищення рівня безпеки;
– оперативно реагувати на зміни умов функціонування;
– забезпечити поетапне раціональне вкладення фінансових коштів;
– знизити та оптимізувати вартість побудови та підтримки системи;
– відслідковувати та оцінювати ризики з урахуванням цілей бізнесу;
– ефективно виявляти найбільш критичні ризики та уникати їх
реалізації;
– розробити ефективну політику ІБ та забезпечити її якісне виконання;
– розробляти, впроваджувати та тестувати плани відновлення бізнесу;
– встановити взаємозв'язок між показниками (вимогами) різних нормативних документів і міжнародних стандартів;
– задавати різні рінні ІБ залежно від наявних фінансових і матеріальних можливостей;
– отримувати кількісні і якісні оцінки ефективності СУІБ;
– застосовувати різні методики оцінки стану ІБ;
– забезпечити підвищення репутації та ринкової привабливості підприємства.
– забезпечити розуміння питань інформаційної безпеки керівництвом та всіма працівниками;
СУІБ є апаратом підтримки та ухвалення рішень, який побудований за модульним принципом. Взаємопов'язані методичні модулі СУІБ дозволяють вирішувати такі завдання:
– прогнозування, профілактика і попередження загроз безпеці;
– виявлення і усунення причин та умов, які сприяють нанесенню
матеріальних збитків;
– ідентифікація та оцінювання ризиків безпеки;
– створення механізму й умов оперативного реагування на загрози
безпеки;
– вияв негативних тенденцій у функціонуванні електронних технологій
підприємства;
– мінімізація загроз безпеки на основі правових, організаційних і
програмно-технічних заходів;
– створення умов для локалізації збитків, що наносяться
неправомірними діями.
– ослаблення негативного впливу наслідків порушення безпеки
підприємства;
– кадрові питання, виховання та навчання персоналу щодо питань
безпеки;
– розробка нормативно-методичної документації ІБ;
– аналіз програмно-технічних засобів та рішень ІБ;
– формування технічних завдань та управління проектами;
– розподіл обов'язків, відповідальності та управління інформаційними
активами і ресурсами;
– аналіз загроз, ризиків та оцінка ефективності заходів ІБ;
– накопичення інформаційно-аналітичних знань та досвіду.
Методичні модулі СУІБ «Матриця»
Група модулів «Основи»:
– Модуль «001 Нормативна база». Законодавча, нормативно-правова і наукова база.
– Модуль «002 Структура органів». Структура і задачі органів (підрозділів) ІБ.
– Модуль «003 Політика безпеки». Організаційно-технічні й режимні заходи (політика ІБ).
– Модуль «004 Засоби безпеки». Засоби та методи забезпечення ІБ (рішення).
Група модулів «Етапи»:
– Модуль «100 Активи, інформація». Визначення активів, що підлягають захисту (інформаційні та технічні ресурси).
– Модуль «200 Загрози». Виявлення загроз і каналів витоку інформації.
– Модуль «300 Оцінка ризиків». Оцінка ризиків.
– Модуль «400 Вимоги безпеки». Формування вимог до СУІБ.
– Модуль «500 Проект захисту». Визначення засобів та заходів ІБ (пошук рішень).
– Модуль «600 Впровадження». Впровадження, навчання та організація використання СУІБ.
– Модуль «700 Контроль + оцінка». Контроль використання та оцінка ефективності СУІБ (моніторинг та аудит).
Група модулів «Напрямки»:
– Модуль «010 Об‘єкти». Захист об‘єктів корпоративних систем.
– Модуль «020 Процеси». Захист процесів, процедур та програм обробки інформації.
– Модуль «030 Канали зв‘язку». Захист каналів зв‘язку.
– Модуль «040 Випромінювання». Придушення побічних електромагнітних випромінювань.
– " Модуль «050 Елементи захисту». Управління системою захисту.
Зазначені групи модулів Основи, Етапи та Напрямки розглядаються нерозривно один з одним та мають відповідну нумерацію
Функціональні можливості СУІБ «МАТРИЦЯ»
– моніторинг управління ризиками ІБ підприємства;
– планування аудиторських перевірок ІБ, розподіл ресурсів;
– використання шаблонів методик, описів і робочих документів;
– створення і ведення всіх необхідних розпорядчих і регламентних документів ІБ: функціональних обов'язків, інструкцій, політик безпеки;
– ведення спільних база знань, баз методичних матеріалів, архівація;
– проведення аналізу стану ІБ (Матриця стану) та формування звітів для керівництва у вигляді таблиць і графіків;
– оптимізація розподілу ролей і повноважень;
– інформаційно-аналітична підтримки рішень керівництвом щодо управління процесом забезпечення ІБ;
– забезпечення формування вимог (Матриця вимог) і показників оцінки ефективності СУІБ (Матриця оцінок);
– контроль за проведенням аудиторських процедур;
– фіксація порушень, відхилень і зауважень у процесі виконання аудиторських процедур;
– оцінка і управління бюджетом щодо створення та використання СУІБ;
– моніторинг виконання завдань та рекомендацій.
СУІБ «Матриця» використовується в якості:
– Посібника зі створення СУІБ.
– Методики формування показників і вимог до СУІБ.
– Інструмента (методики) оцінки СУІБ.
– Моделі СУІБ для проведення досліджень (Матриця стану)
СУІБ «Матриця» дозволяє:
– встановити взаємозв'язок між показниками (вимогами);
– задавати різні рівні захисту;
– одержувати кількісні оцінки;
– контролювати стан СУІБ;
– застосовувати різні методики оцінок;
– функціонувати в умовах високої невизначеності вихідної інформації;
– оперативно реагувати на зміни умов функціонування;
– об'єднувати зусилля різних фахівців ІБ єдиним задумом. Перспективи розвитку СУІБ «Матриця»:
– використання досвіду і знань та наповнення відповідних баз знань ІБ;
– покращення методики проведення аудиту ІБ;
– створення експертної системи;
– підвищення рівня навчання фахівців з ІБ;
– створення інформаційно-довідкової системи;
– внесення змін до нових положень і інструкцій ІБ;
– легке і зручне налаштування будь-яких звітів, графіків і діаграм.