Реферат з дисципліни «Основи інженерії та технології сталого розвитку» Оформлення



Скачати 375.13 Kb.
Сторінка3/8
Дата конвертації11.01.2019
Розмір375.13 Kb.
Назва файлуРеферат.docx
Навчальний закладКиївський Політехнічний Інститут Імені Ігоря Сікорського
ТипРеферат
1   2   3   4   5   6   7   8
РОЗДІЛ 1

Сімейство Міжнародних Стандартів на Системи Управління Інформаційною Безпекою 27000 розробляється ISO/IEC JTC 1/SC 27. Це сімейство включає в себе Міжнародні стандарти, що визначають вимоги до системи управління інформаційної безпеки (СУІБ), управління ризиками, метрики і вимірювання, а також керівництво з впровадження.

Для цього сімейства стандартів використовуєть- ся послідовна схема нумерації, починаючи з 27000 і далі.

ISO 27000 ISO/IEC 27000:2009 Information technology. Security techniques. Information security man- agement systems. Overview and vocabulary (Визначен- ня і основні принципи). Випущений в липні 2009 р.

ISO 27001 ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements Інформа- ційні технології (Методи забезпечення безпеки. Системи управління інформаційною безпекою. Вимоги). Випущений в жовтні 2005 р.

ISO 27002 ISO/IEC 27002:2005, BS 7799-1:2005,

BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management (Інформаційні технології. Методи забезпечен- ня безпеки. Практичні правила управління інформа- ційною безпекою (УІБ)). Випущений в червні 2005 р.

ISO 27003 ISO/IEC 27003:2010 Information Technology – Security Techniques – Information Security Management Systems Implementation Guidance (Керівництво з впровадження СУІБ). Випущений в січні 2010 р.

ISO 27004 ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement (Вимірювання ефективності СУІБ). Випущений в січні 2010 р.

ISO 27005 ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management (Інформаційні технології. Методи забез- печення безпеки. Управління ризиками ІБ). Випущений в червні 2008 р.

ISO 27006 ISO/IEC 27006:2007 Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems (Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту та сертифікації СУІБ). Випущений в березні 2007 р.

ISO 27007 Керівництво для аудитора СУІБ (в розробці).

ISO 27011 ISO/IEC 27011:2008 Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Керівництво з управління ІБ для телекомунікацій). Випущений в травні 2009 р.

ISO 27033-1 ISO/IEC 27033-1:2009 Information technology. Security techniques. Network security. Over- view and concept (Основні концепції управління мережевою безпекою). Випущений в січні 2010 р.

Відзначимо, що упровадження СУІБ дає значні комерційні вигоди:


  • інформаційні активи стають зрозумілими для керівництва підприємства;

  • виявляються основні загрози безпеці для існуючих бізнес-процесів (видів діяльності);

  • розраховуються ризики та ухвалюються рішення на основі стратегічних і поточних бізнес-цілей підприємства;

  • забезпечується ефективне управління підприємством у критичних ситуаціях, у тому числі за на-явності загрози рейдерських атак;

  • постійно здійснюється процес реалізації політики безпеки, тобто знаходяться і виправляються слабкі місця у системі інформаційної безпеки;

  • чітко визначаються обов’язки та особиста відповідальність;

  • досягається зниження й оптимізація вартості системи інформаційної безпеки;

  • легко здійснюється інтеграція з діючими системами управління якістю, екологією, охороною праці, безпекою ланцюга постачань;

  • підприємство демонструє клієнтам, партнерам, власникам свою прихильність до інформаційної безпеки;

  • підвищується імідж підприємства на ринку послуг;

  • завдяки відповідності міжнародному стандарту інформаційної безпеки підкреслюються прозорість і чистота бізнесу перед законом;

Постійна готовність щодо забезпечення безперервності бізнесу підвищує капіталізацію та кредитний рейтинг підприємства.

Досягнення впровадження СУІБ можливе за умови дотримання основних принципів [1]:



  • усвідомлення необхідності захисту інформації;

  • визначення відповідальності за захист інформації;

  • об’єднання зобов’язань стосовно управління та інтересів акціонерів;

  • підвищення соціальних цінностей;

  • оцінення ризику, яке визначає застосування відповідних засобів управління для досягнення прийнятних рівнів ризику;

  • акцент на безпеку, що є істотним елементом інформаційних мереж і систем;

  • активне запобігання та виявлення порушень захисту інформації;

  • забезпечення всебічного підходу до управління захистом інформації;

  • постійне переоцінення захисту інформації та внесення необхідних змін.

Побудова системи управління інформаційною безпекою — це комплексний процес, направлений на мінімізацію зовнішніх і внутрішніх загроз із врахуванням обмежень на ресурси і час. Для побудови ефективної системи інформаційної безпеки необхідно спочатку описати процеси діяльності, потім визначити поріг ризику, тобто рівень загрози, при якому­ вона потрапляє в процес управління ризиками. Отже, потрібно побудувати таку систему інформаційної безпеки, яка забезпечить досягнення заданого рівня ризику. Зважаючи на сукупність видавничих бізнес-процесів [10], специфіку інформаційного продукту — переважно мультимедійного видання, — з методологічного погляду [11] створення СУІБ може бути реалізовано в такі шість етапів (рис. 2), а з позиції процесного підходу систему інформаційної безпеки можна представити як процес управління ризиками (рис. 2), — як ключового етапу управління ІБ.



Рис. 1. Етапи процесу створення СУІБ

Етапи 3 і 4 утворюють основу СУІБ видавництва і є процесами, які трансформують принципи політики безпеки організації, а також перетворюють цілі СУІБ в конкретні плани щодо впровадження механізмів керування і захисту, спрямованих на мінімізацію загроз і вразливостей.

Процедури та дії на етапах 5 та 6 не стосуються інформаційних ризиків. Вони радше пов’язані з оперативними діями, необхідними для технічної реалізації, обслуговування і управління, оцінюванням рівня безпеки. Відповідні засоби контролю можна отримати з існуючих наборів засобів чи механізмів, які зазвичай містяться в стандартах та керівних положеннях інформаційної безпеки, або як результат поєднання чи адаптації пропонованих засобів до конкретних вимог організації та експлуатаційних характеристик. В обох випадках етап 6 є за­ документованим відображенням виявлених ризиків в умовах конкретного редакційно-видавничого процесу, що містить технічну реалізацію механізмів безпеки­, які планують застосувати. Незважаючи на те, що УІБ є циклічним процесом, у більшості компаніях етапи 1 та 2 повторюватимуться рідше, ніж етапи 3, 4, 5 та 6. Це пов’язано з тим, що створення політики безпеки та визначення меж СУІБ є управлінськими та стратегічними питаннями, тоді як процес управління ризиками — це щоденна операційна проблема.



Рис. 2. Модель системи управління ризиками для СУІБ

Аналіз моделі управління ризиками потребує розгляду в рамках узагальненої моделі системи інформаційної безпеки видавництва, із розкриттям таких понять як об’єкт захисту, види і модель загроз, модель порушника, а тому буде висвітлено в подальших дослідженнях.

Згідно з останніми даними, опублікованими ISO [15], на кінець 2018 року в світі на відповідність стандарту [2] видано 9246 сертифікатів у 82 країнах, що на 20 % більше порівняно з 2017 роком, коли було видано 7732 сертифікати у 70 країнах. Цікаво, що 94 % сертифікованих у 2018 році організацій належать до сектору послуг (у 20017 — 90 %).



Поділіться з Вашими друзьями:
1   2   3   4   5   6   7   8


База даних захищена авторським правом ©refua.in.ua 2019
звернутися до адміністрації

    Головна сторінка
Контрольна робота
Методичні вказівки
Лабораторна робота
навчальної дисципліни
Методичні рекомендації
Загальна характеристика
курсової роботи
використаної літератури
Список використаної
Курсова робота
охорони праці
курсу групи
Зміст вступ
Пояснювальна записка
Виконав студент
Виконала студентка
самостійної роботи
Історія розвитку
навчальних закладів
форми навчання
Теоретичні основи
Робоча програма
Міністерство освіти
Практична робота
вищої освіти
студент групи
навчальний заклад
молодших школярів
Загальні відомості
Конспект лекцій
виконання курсової
виробничої практики
роботи студентів
діяльності підприємства
Охорона праці
Практичне заняття
інтелектуальної власності
контрольної роботи
використаних джерел
охорони здоров
Курсовая работа
студентів спеціальності
Самостійна робота
Історія виникнення
загальна характеристика
загальноосвітніх навчальних
навчального закладу
фізичного виховання
студентка курсу
Дипломна робота
Студент групи