Professional Documents
Culture Documents
ПРАКТИЧНА РОБОТА № 2
з дисципліни «Політика, стратегія та менеджмент кібербезпеки»
за темою «Дослідження структури систем управління кібербезпекою»
м. Вінниця – 2022
Мета роботи – дослідити та проаналізувати структуру систем
управління кібербезпекою шляхом побудови та відображення моделі системи
інформаційної безпеки довільно обраного підприємства.
Теоретичні відомості
Управління інформаційною безпекою – процес, який забезпечує
конфіденційність, цілісність і доступність активів, інформації, даних і послуг
організації. Щоб забезпечувати інформаційну безпеку і керувати нею,
необхідна «система управління інформаційною безпекою».
Система управління інформаційною безпекою (Information Security
Management System) є частиною загальної системи управління, що базується
на аналізі ризиків і призначена для проектування, реалізації, контролю,
супроводу та вдосконалення заходів в області інформаційної безпеки
(кібербезпеки). Систему складають організаційні структури, політика, дії з
планування, обов’язки, процедури, процеси і ресурси.
Основними цілями інформаційної безпеки є:
– конфіденційність інформації, тобто необхідність введення обмежень
доступу до даної інформації для певного кола осіб;
– неможливість несанкціонованого доступу до інформації, тобто
ознайомлення з конфіденційною інформацією сторонніх осіб;
– цілісність інформації та пов’язаних з нею процесів (створення,
введення, обробки і виведення), яка полягає в її існуванні в неспотвореному
вигляді (незміненому по відношенню до деякого фіксованого її стану);
– доступність інформації, тобто здатність забезпечувати своєчасний і
безперешкодний доступ осіб до інформації;
– мінімізація ризиків інформаційної безпеки шляхом виконання
компенсаційних заходів;
– облік усіх процесів, пов’язаних з ризиками.
Досягнення заданих цілей здійснюється в процесі вирішення наступних
завдань:
– введення в систему термінів інформаційної безпеки;
– класифікації інформаційних ресурсів підприємства;
– визначення власників процесів, відповідальних за інформаційну
безпеку;
– розробки спектра ризиків інформаційної безпеки та проведення їх
експертних оцінок;
– визначення групи доступу до інформаційних ресурсів;
– розробки системи управління ризиками інформаційної безпеки
(методи та їх оцінка);
– складання переліків адміністративних і технічних заходів для
мінімізації та компенсації ризиків;
– здійснення заходів інформаційної безпеки та періодичного контролю
за станом ризиків;
– забезпечення фізичної безпеки та безпеки персоналу;
– розробки вимог до інформаційної системи з погляду інформаційної
безпеки;
– контролінгу інформаційної безпеки на підприємстві.
Виділяються чотири стадії реалізації системи управління
інформаційною безпекою:
1) формування політики в галузі ризиків;
2) аналіз бізнес-процесів;
3) аналіз ризиків;
4) формування цільової концепції.
Формування політики в галузі ризиків передбачає визначення принципів
управління ними для всього підприємства в цілому. Ці принципи базуються на
цілях підприємства, його стратегії, також на вимогах згідно законів і
стандартів в галузі інформаційної безпеки. Чинником ефективності системи
управління інформаційною безпекою є її побудова на базі міжнародних
стандартів ISO / IEC 17799: 2005 та ISO / IEC 27001: 2005.
Хід роботи
Згідно поставленому завданню, необхідно в будь-якому графічному
редакторі зобразити модель системи інформаційної безпеки довільно обраного
підприємства.
Для даного завдання обрано звичайний магазин запчастин для с\х
техніки та графічний редактор draw.io, в якому відобразимо дану модель.
Дослідивши всі напрямки отримання, зберігання та маніпулювання
інформацією даного підприємства, визначаємо вірогідні загрози та відповідно
ризики, після чого описуємо модель захисту цієї інформації (рис.1).