Банковская безопасность,

и другие.

 

Понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части. Кроме того, по своему содержанию информационная безопасность включает:

- компьютерную безопасность;

- безопасность информационных систем и процессов;

- безопасность среды для реализации информационных процессов.

 

Приведем здесь определение компьютерной безопасности из словаря Парфенова В.И. или из книги [Теоретические основы информатики и информационная безопасность. М.: Радио и связь, 2000.-468 с.]

Компьютерная безопасность -свойство компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации (данных) от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения вредоносных программ, нарушения правил эксплуатации, несанкционированной модификации программ и т.п..

 

Помимо системы обеспечения (информационной)безопасности важна система менеджмента информационной безопасности.

В частности для организаций банковской системы есть определение.

Система менеджмента (управления – в некоторых документах) информационной безопасности организации банковской системы Российской Федерации; СМИБ (СУИБ) –эточасть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].

Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.

Международный стандарт ISO/IEC IS 27001 содержит модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга).

На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.

На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессов и процедур СМИБ организации.

На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.

На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

 

Рисунок . Элементы процесса менеджмента ИБ

 

Использование для обеспечения ИБ “процессного подхода” на базе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях.

Под процессом понимается совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующих входы в выходы (ГОСТ Р ИСО 9000-2001 «Системы менеджмента качества. Основные положения и словарь»).

Деятельность организации, направленной на цели бизнеса, можно представить в виде совокупности трех групп высокоуровневых процессов:

- основные процессы (процессы основной деятельности);

- вспомогательные процессы;

- процессы менеджмента (управления) организацией.

По определению система менеджмента ИБ (СМИБ), предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ, является частью общей системы менеджмента организации (BS 7799-2).

Построенный на основе методологии IDEF0 рис. иллюстрирует общую модель структур и связей деятельности в области ИБ и основной деятельности организации.

На модели видно, что входными параметрами для обеспечения ИБ организации являются:

- информация о среде организации;

- потребности организации в обеспечении ИБ (мнения менеджеров организации относительно ценности информационных активов);

- описания реализации бизнес-процессов;

- информация по контролю бизнес-процессов и технологий основной деятельности организации (как обратный цикл реализации нормативов по обеспечению ИБ организации).

Кроме того, для управления и обеспечения деятельности в этой области необходимы законы, нормативные документы, стандарты, относящиеся конкретно к этой проблеме, интеграция в общую систему менеджмента организации, а также ресурсы (финансовые, материальные, информационные), люди и оборудование.

В модели явно не представлена еще одна важнейшая деятельность — деятельность по менеджменту (управлению) организацией. Косвенно она представлена как управляющий сигнал на основную деятельность.


 

Рис.Модель интеграции информационной безопасности в основную деятельность организации


Важнейшими исходными данными для эффективной деятельности служб ИБ являются информационные модели основной деятельности организации (описания бизнес-процессов, реализуемых технологий и т.п.). Данные модели определяют контекст и акценты внимания деятельности служб ИБ, так как они позволяют понять, где в структуре деятельности организации в части информатики имеются уязвимости для потенциальных злоумышленников и какие защитные меры могут потребоваться и какие из них могут быть наиболее эффективными.

Результатами (выходами) деятельности и процессов по обеспечению ИБ организации являются:

- документы (отчеты, предложения, внутренние нормативные документы);

- механизмы (средства) обеспечения ИБ и решения по их реконфигурации (совершенствованию);

- сигнал опасности для основной деятельности (бизнеса) организации.

Механизмы обеспечения ИБ, являющиеся результатом деятельности и процессов по ее обеспечению в организации, выступающие в качестве ресурсного обеспечения для основной деятельности организации, эксплуатируются службами ИБ, а в отдельных случаях и основными функциональными подразделениями организации. Информация контроля результатов применения и функционирования механизмов (защитных мер) поступает для анализа в службу информационной организации.

 

Остановимся подробнее на важном понятии «политика безопасности». Приведем несколько определений.

Политика безопасности организации –одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

Далее появились разновидности этого определения. Например, такое.

Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICТ security policy): правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. [ГОСТ Р 13335-1].

 

Нас будет в основном интересовать «политика информационной безопасности». Согласно [ГОСТ Р ИСО/МЭК 17799-2005]

Политика информационной безопасности должна быть утверждена высшим руководством, издана и доведена до сведения всех сотрудников и соответствующих внешних сторон.

Документ о политике информационной безопасности должен устанавливать ответственность руководства и излагать подход организации к управлению информационной безопасностью. Политика должна содержать следующие положения:

а) определение информационной безопасности, ее общих целей и сферы действия, а также упоминание значения безопасности как инструмента, обеспечивающего возможность совместного использования информации (см. Введение);

б) изложение намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

в) основание для установки целей контроля и мер контроля, включая структуру оценки риска и менеджмент риска;

г) краткое изложение наиболее существенных для организации политик безопасности, принципов, стандартов и требований, включающее:

1) соответствие законодательным, регулятивным требованиям и договорным обязательствам;

2) требования в отношении обучения и осведомлённости в вопросах безопасности;

3) управление непрерывностью бизнеса;

4) ответственность за нарушения политики информационной безопасности;

д) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

е) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Такая политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в уместной, доступной и понятной форме.

 

Политика информационной безопасности может быть частью документа общей политики. Если политика информационной безопасности распространяется вне организации, то нужно обратить внимание на неразглашение секретной информации. Дополнительную информацию можно найти в ISO/IEC 13335-1:2004.

Политика информационной безопасности должна пересматриваться через запланированные промежутки времени или в случае появления существенных изменений в целях обеспечения её непрерывной стабильности, адекватности и эффективности

Политика информационной безопасности должна иметь владельца, который утвердил административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики информационной безопасности организации и подход к управлению информационной безопасностью в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

В стандарте Банка России понятие политики ИБ банковской системы приводится похожее на предыдущие определение.

Политика информационной безопасности организации банковской системы Российской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.

 

Завершает раздел исходная концептуальная схема (парадигма) обеспечения информационной безопасности, которая обсуждается в работе [Курило и др]. Суть парадигмы ИБ — противоборство собственника и злоумышленника за права на информационные активы в целях последующего извлечения дохода.

На самом деле, цели злоумышленника могут быть и другие. Поэтому это понятие трактуется и конкретизируется в стандарте Банка России следующим образом.

В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

 

Далее по разделам будут появляться характерные им термины и определения.