Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Загальні характеристики інформаційної безпеки підприємства як об’єкта міжнародних стандартів.
|
|
Метою інформаційної безпеки є забезпечення неперервної роботи організації та мінімізація розміру збитків (втрат) від подій, що є загрозою безпеці, шляхом їх нейтралізації. Система менеджменту інформаційної безпеки дає змогу використовувати інформацію, забезпечуючи при цьому її захист, а також захист інформаційних та комунікаційних ресурсів.
Інформаційна безпека складається із трьох основних компонентів:
Ø конфіденційність - захист конфіденційної інформації від несанкціонованого доступу;
Ø цілісність - забезпечення точності та повноти інформації та комп'ютерних програм;
Ø доступність - забезпечення доступності інформації та необхідних послуг для користувачів.
Інформаційним системам та мережам властиві такі загрози, як: фізичне пошкодження/втрата (будівлі, обладнання, інформації); компрометація інформації; викривлення/підроблення інформації і/або даних, внаслідок пожежі, крадіжки, неконтрольованого ремонту, збоїв електроживлення, недбалості персоналу, відмови телекомунікаційного обладнання, несанкціонованого використання обладнання/програмного забезпечення, віддаленого шпіонажу, перехоплення побічних електромагнітних випромінювань та наведень, розкриття/продажу інформації працівниками організації, зловживання працівником правами доступу до інформації, підроблення прав доступу до інформації, отримання несанкціонованого доступу до інформації зовнішніми зловмисниками, неправильної роботи системи захисту інформації, навмисного невикористання системи захисту інформації, компрометації паролів доступу, помилок у програмному забезпеченні тощо.
Основні групи вимог до системи безпеки в довільній організації. Перша група вимог - це унікальний набір ризиків порушення безпеки, що складається із загроз інформаційним ресурсам та їх вразливостей та можливого впливу цих ризиків на функціонування організації. Більшу частину таких ризиків описано у цьому посібнику. Ризикам можна сміливо протистояти, якщо діяти за вимогами стандартів менеджменту інформаційної безпеки. Проте існують ризики, що вимагають спеціального підходу, і їх необхідно розглядати з врахуванням оцінки кожної конкретної організації чи кожного конкретного компонента інформаційної системи. Друга група вимог - це набір правових та договірних вимог, яких має дотримуватися організація, її партнери, підрядники та постачальники послуг; у цьому разі зростає необхідність стандартизації із поширенням електронного обміну інформацією у мережах між організаціями. Правила міжнародних стандартів можуть слугувати надійною основою для визначення загальних вимог цього типу. Третя група вимог - це унікальний набір принципів, цілей та вимог до оброблення інформації, який розробила організація для виробничої мети. Важливо (наприклад, для забезпечення конкурента здатності), щоб у політиці безпеки було відображено ці вимоги, а також, щоби наявність чи відсутність засобів менеджменту безпеки в інформаційній інфраструктурі не суперечили меті виробничої діяльності організації.