1. Загальний аналіз міжнародних стандартів та вимог управління інформаційною безпекою.

Міжнародні
критерії оцінки безпеки інформаційних ресурсів.

Вступ
Сучасний етап розвитку інформаційної безпеки потребує комплексного підходу до розробки та
впровадження  методів і засобів захисту ресурсів інформаційно-комунікаційних систем та мереж (ІКСМ), як на
технічному, так і на організаційному рівні, тобто реалізації комплексного процесу. Комплексний процес
організації безпеки в першу чергу повинен включати заходи управління інформаційною безпекою. Зазначений
процес забезпечує механізми та методи, які дозволяють реалізувати комплексну політику інформаційної
безпеки організації ІКСМ. Інформаційна безпека – реалізація процесу  захисту інформації від широкого
діапазону загроз, що здійснюється з метою забезпечення ефективності та надійності функціонування ІКСМ.
Постановка задачі
Міжнародні стандарти серії ISO (ISO/IEC 17799, ISO 27001) є основоположними в
сфері управління інформаційною безпекою. Вони представляють собою модель системи менеджменту, яка
визначає загальну організацію процесів, класифікацію даних, системи доступу, напрямки планування та
удосконалення системи безпеки, відповідальність співробітників і оцінку ризику.
Основна ідея стандарту – забезпечення надійного захисту інформаційних ресурсів ІКСМ та забезпечити
організацію ефективного доступу до даних й процесу їх обробки згідно визначених послуг. Створити систему
менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням
безперервності функціонування.
Заходи управління інформаційної безпеки
Сучасні ІКСМ уразливі до ряду мережних загроз, які можуть бути результатом реалізації
несанкціонованого доступу, а також розкриття, викривлення або модифікації інформації. Щоб захистити
сучасні інформаційні ресурси та послуги від загроз, необхідно застосовувати відповідні заходи управління
безпекою.
Під управлінням інформаційної безпеки будемо розуміти циклічний процес, що включає: постановку
задачі захисту інформації; збір та аналіз даних про стан інформаційної безпеки в ІКСМ; оцінку інформаційних
ризиків; планування заходів з обробки ризиків; реалізацію і впровадження відповідних механізмів контролю;
розподіл ролей і відповідальності; політику безпеки; навчання та мотивацію персоналу, оперативну роботу по
здійсненню захисних заходів; моніторинг (аудит) функціонування механізмів контролю, оцінку їх ефективності
та надійності. Процес впровадження системи управління інформаційної безпеки включає оцінку поточного
стану інформаційного забезпечення захисту інформації ІКСМ, формування комплексу заходів щодо
забезпечення оптимального рівня на основі оцінки ризиків.
Після ідентифікації вимог безпеки, варто вибирати й застосовувати заходи управління, таким чином, щоб
забезпечувати впевненість у зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з безлічі
інших документів та заходів управління визначених для даного класу систем, або можуть бути розроблені, щоб
задовольнити потреби компанії відповідно до обраної політики безпеки.
Згідно з міжнародним стандартом ISO 27001, система управління інформаційною безпекою – це «частина
загальної системи управління організації, яка заснована на оцінці ризиків, яка створює, реалізує, експлуатує,
здійснює моніторинг, перегляд, супровід і вдосконалення загальної інформаційної безпеки».
У відповідності з вимогами ISO/IEC 27001 система управління інформаційної безпеки повинна містити
такі етапи [1,2] :
1 етап - планування - фаза створення, створення переліку інформації, оцінки ризиків і вибору заходів та
механізмів захисту;
2 етап - дія - етап реалізації та впровадження відповідних заходів;
3 етап - перевірка - фаза оцінки ефективності та надійності функціонування створеної системи.
Проведення внутрішнього аудиту системи, виявлення недоліків.
4 етап - удосконалення - виконання коригувальних дій по покращенню функціонуванню системи;
При створенні системи управління інформаційної безпеки потрібно керуватися відповідними заходами.
Заходи управління варто вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження
систем безпеки й зниження ризиків і можливих втрат, якщо відбудеться порушення безпеки ІКСМ.
Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні
принципи для управління інформаційною безпекою й можуть бути застосовні для організацій політики безпеки.
Розглянемо заходи управління інформаційної безпеки із законодавчої точки зору та узагальнені для сучасних
ІКСМ [3].
Якщо розглядати заходи управління із законодавчої точки зору, то вони  включають:
 –     захист даних і таємність особистої інформації;
–     охорону інформаційних ресурсів організації;
–     права на інтелектуальну власність.
Заходи управління сучасних ІКСМ включають :
     документи, що стосується політики інформаційної безпеки ;
     розподіл обов'язків, пов'язаних з інформаційною безпекою;
     структура підрозділів й навчання, пов'язані з інформаційною безпекою ;
     повідомлення про інциденти, пов'язаних з безпекою ;
     управління безперервністю.
Слід зазначити, що: хоча всі заходи управління в стандартах та нормативних документах є важливими,
але застосування якого-небудь засобу управління повинне відповідати ризикам та можливим загрозам даної
ІКСМ.
В загальному випадку система управління безпекою  повинна включати (рис.1) :
     аутентифікацію (користувачів, даних, додатків, послуг, тощо);
     авторизацію (авторизований перелік цін, ключових торговельних документів, партнерів,
користувачів, керівництва);
     аудит інформаційних ресурсів та послуг.

Рис.1 Базова система управління інформаційної безпеки

Переваги застосування системи управління інформаційної безпеки на базі міжнародних стандартів
серії ISO:
  Забезпечення безперервності.
Від якості застосовуваних новітніх технологій захисту інформації залежить не тільки збереження в
конфіденційних інформації, а й взагалі існування конкретних інформаційних і телекомунікаційних сервісів,
послуг та програм.
   Мінімізація ризиків.
Впровадження системи управління інформаційної безпеки дозволить зменшити інформаційні ризики,
розкрадання і неправильне використання обладнання, пошкодження та порушення роботи інформаційної
системи організації за рахунок розмежування фізичного доступу та впровадження механізму моніторингу
(аудиту) стану інформаційної безпеки. Оцінка та мінімізація ризиків дозволить ідентифікувати загрози
інформаційним ресурсам та послугам, оцінити їх уразливість й імовірність виникнення загроз, а також
можливий руйнівний вплив при реалізації несанкціонованих доступу.
  Зниження витрат на інформаційну безпеку.
Застосування передових технологій зі створення, моніторингу та поліпшення інформаційної безпеки
дозволяє знизити витратну частину бюджету, що зачіпає забезпечення інформаційної безпеки.
   Забезпечення цілісності, конфіденційності та доступності критичних інформаційних ресурсів ІКСМ.
   Забезпечення комплексного та централізованого контролю рівня захисту інформації.
Висновок
На основі проведеного аналізу сучасних заходів управління інформаційної безпеки ІКСМ на базі
міжнародних стандартів ISO виділено, що управління безпекою ІКСМ є важливим аспектом забезпечення
безпеки властивостей інформаційних ресурсів та послуг в мережах передачі даних. Для досягнення й підтримки
безпеки в інформаційно-комунікаційних системах та мережах, потрібен визначений діапазон засобів та заходів
управління. В роботі виділено ряд переваг застосування системи управління інформаційної безпеки на базі
міжнародних стандартів серії ISO в сучасних ІКСМ

2. Концепція захищеної автоматизованої системи. Принципи створення захищеної інформаційно-

телекомунікаційної системи.
 Автоматизована система являє собою організаційно-технічну систему, що об’єднує ОС, фізичне середовище,
персонал і оброблювану інформацію. Вимоги до функціонального складу КЗЗ залежать від характеристик
оброблюваної інформації, самої ОС, фізичного середовища, персоналу і організаційної підсистеми. Вимоги до
гарантій визначаються насамперед характером (важливістю) оброблюваної інформації і призначенням АС.

Для комплексного забезпечення безпеки інформації в рамках проектованої АС необхідне застосування

цілого ряду засобів захисту різного характеру. Сюди відносяться, наприклад, засоби ідентифікації,
автентифікації та розмежування доступу на рівні ОС, захищенна СУБД, антивірусні засоби, засоби захисту
мереж (мережеві екрани, віртуальні приватні мережі, електронна цифрова підпис і т.п.). При цьому вже існує
цілий ряд подібних засобів, що мають сертифікати відповідності різним класам захищеності. Тому є
привальним застосування цих готових засобів як компонентів СЗІ АС.

Очевидно, що для реалізації ефективного управління безпекою в рамках АС потрібне забезпечення нікого
однакового програмного інтерфейсу взаємодії засобів захисту (тут можна провести аналогію з Microsoft DirectX
- стандартним інтерфейсом роботи з різнорідними апаратними засобами мультимедіа).

Оскільки даний інтерфейс повинен забезпечувати можливість однакового взаємодії засобів захисту різних
типів (СУБД, міжмережевих екранів, антивірусів і т.п.), то він повинен надавати ряд загальних операцій
управління цими коштами, таких як включення і відключення, налаштування параметрів реєстрації, збір
реєстраційної інформації , управління ключами шифрування і т.п. Зрозуміло, подібний набір операцій не
дозволяє використовувати більшу частину можливостей засобів захисту через їх різнорідності.Тому інтерфейс
повинен також передбачати набори операцій, специфічних для кожного типу засобів захисту (наприклад, для
антивірусів - настройка параметрів оновлення антивірусних баз даних, для міжмережевих екранів - настройка
конфігурації мережі і т.п.). Також для більш повного використання можливостей конкретних засобів захисту
має сенс передбачити механізм, що дозволяє виконувати операції, властиві тільки цим коштам. Застосування
такого механізму, з одного боку, потребують більш складних (і менш універсальних) алгоритмів управління
засобами захисту, але, з іншого боку, дозволить підвищити (можливо, значно) захищеність інформації в АС.

Таким чином, при проектуванні захищеної АС, що використовує подібний інтерфейс, необхідно:
• Визначити типи засобів захисту, які використовуються в АС;
• Виділити загальні операції управління всіма засобами захисту, які використовуються в АС;
• Виділити операції управління, характерні для окремих типів засобів захисту;
• Виділити інші операції, характерні для конкретних засобів захисту.

Велику роль при проектуванні захищених АС відіграє також організація адміністрування засобів захисту.
Особливо актуальна ця проблема в великомасштабних АС, що охоплюють сотні або навіть тисячі робочих
станцій. Очевидно, що з такою кількістю станцій один адміністратор безпеки не впорається просто фізично.
Більш того, можливостей сучасних засобів комунікації навряд чи буде достатньо навіть просто для отримання
реєстраційної інформації з усіх станцій. Таким чином, виникає проблема побудови такої схеми адміністрування
захисту, при якій:

- повинно бути кілька адміністраторів безпеки;

- кожен адміністратор повинен контролювати невелику кількість станцій в межах своїх фізичних
можливостей;

- має забезпечуватися оперативне управління всіма захищеними ресурсами АС;

- накладні витрати на управління захистом (наприклад мережевий трафік реєстраційної інформації) не

повинні заважати роботі функціонального ПЗ АС.

Таким чином, необхідно вирішувати питання структурування АС за групами станцій (доменів). Таке
структурування може бути як однорівневим (всі домени рівноправні), так і ієрархічним (ряд доменів одного
рівня об'єднується в домен вищого рівня). Домен повинен управлятися своїм адміністратором або групою
адміністраторів. Підрозділ на домени може здійснюватися за територіальним, функціональному або якого-
небудь іншою ознакою. Однак незалежно від використовуваного принципу виникають такі проблеми:

- організація зберігання даних захисту (налаштувань станцій, прав користувачів, реєстраційної інформації
тощо) та управління ними;

- організація междоменной мережевої взаємодії (як для роботи користувачів, так і для адміністрування).

Проблема організації зберігання даних захисту має на увазі, по-перше, вибір використовуваної фізичної
архітектури зберігання даних: централізованої, на одному великому сервері БД (або при необхідності - на
кластері) або розподіленої, коли дані зберігаються на декількох серверах БД або на кожній станції. Дані
способи мають свої добре відомі переваги і недоліки. По-друге, важливим моментом є організація доступу до
даних інших доменів. Тут можливі наступні варіанти:

- доступ відсутній (своя незалежна БД для кожного домена);

- доступ за запитом (домен запитує потрібні дані в іншого домену, а той відповідно до поточної політикою
безпеки надає їх чи ні);

- вільний доступ (кожен домен має повну інформацію про інших доменах).

Організація управління даними захисту має на увазі вибір розташування засобів адміністрування (консолі
адміністратора). При цьому можливі наступні варіанти:

- консоль адміністратора (одна на всю АС або на домен) знаходиться на спеціально виділеній для цього
станції;

- консоль адміністратора доступна на декількох (або на всіх) станціях.

Перший варіант дозволяє більш просто забезпечити недоступність даних захисту (наприклад паролів)
зловмисникові, наприклад, організаційними заходами, однак ускладнює адміністрування в разі великої
територіальної рассредоточенности домену. Другий же варіант є, з одного боку, більш зручним для
адміністратора, з іншого боку, спрощує доступ зловмисника, а також ускладнює синхронізацію доступу
декількох адміністраторів до даних одного домену.

На закінчення відзначимо, що наведений вище перелік проблем і особливостей побудови захищених АС,
зрозуміло, далеко не вичерпаний. При розробці конкретних АС з використанням існуючих компонентів (як ОС і
ПО, так і засобів захисту) будуть виникати й інші проблеми, однак вони в більшості своїй будуть визначатися
вже специфікою конкретних АС.

Принципи створення захищеної інформаційно-телекомунікаційної системи

Розвиток технологій передачі даних вимагає постійного винаходу нових методів, що дозволяють зберегти
конфіденційність інформації, її цілісність, «піти від прискіпливих очей» в глобальному селі інформаційної
павутини. Телекомунікація (зв'язок на відстані) не завжди відбувається безпосередньо через комп'ютерні
мережі, проте інформація, передана через телекомунікаційні канали, часто називається комп'ютерної, так як
електронно-обчислювальна техніка бере участь хоча б на одному з етапів телекомунікації. Система заходів,
створена навколо забезпечення ІБТС, часто є різні аспекти комп'ютерних технологій.

Безпека вимагає резервування даних, збереження їх на різних носіях. Найчастіше до створення резервних
копій просто «не доходять руки». В системі, де забезпечується інформаційна безпека, як правило, є фахівець,
який постійно пам'ятає, що не слід «класти всі яйця в одну корзину», зберігаючи всі дані лише на один
комп'ютер. Необхідно регулярно робити копіювання даних на переносні диски, перерозподіляти ресурси між
працездатними пристроями. Технічна безпека також означає, що комп'ютери повинні бути захищені від
перепадів напруги мережевими фільтрами, установками безперебійного живлення.

Організаційні заходи включають захист носіїв інформації від крадіжки, кадрову роботу з підбору і навчання
надійного і кваліфікованого персоналу, контроль технічного обслуговування і ремонту. Техніка та приміщення
повинні тестуватися на наявність «шпигунських» коштів зняття, перехоплення інформації.

Для захисту від несанкціонованого доступу важливо, перед тим як передавати носії інформації в сторонні
руки, забезпечити правильне видалення конфіденційних даних, адже файли, відправлені в кошик звичайним
способом, можна відновити.

До найбільш відомих традиційних методів, які забезпечують безпеку при спробах несанкціонованого
доступу, відноситься використання систем ідентифікації для впізнання тих, хто має право працювати з тією чи
іншою інформацією. Необхідно захистити систему надійними паролями, які потрібно періодично міняти: це
знизить ймовірність витоку і перехоплення даних.

Поширені вразливі місця телекомунікаційних систем підприємства Керівництво підприємства повинно

піклуватися про розробку концепції інформаційної безпеки, закладати кошти на мінімальний пакет методів
захисту телекомунікаційних систем: Антивірусне програмне забезпечення; Технології аутентифікації; Засоби
шифрування даних; Ресурси для резервного копіювання.

Найчастіші проблеми при роботі з інформацією на виробництві пов'язані з вірусами. Співробітники вносять
віруси при установці програм, відвідування шкідливих сайтів. Витік інформації може бути пов'язана з роботою
вірусів, які перехоплюють паролі, причому вони можуть заблокувати систему або діяти в тихому режимі. У
першому випадку підприємство швидко починає турбувати інформаційна безпека: встановлюються антивірусні
програми, щоб розблокувати техніку і продовжити роботу. Однак цей безсистемний підхід не забезпечує
безпеку. У другому випадку співробітники можуть роками не думати про безпеку телекомунікаційних систем,
не підозрювати, що комп'ютер атакований вірусом, який знімає конфіденційну інформацію або здійснює
підміну даних.

3. Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.

2. Стратегія, напрямки та методи забезпечення безпеки інформації

2.1 Стратегія інформаційної безпеки повинна включати:

-   забезпечення захисту вже напрацьованих об'єктів інтелектуальної власності, що мають комерційну

цінність;
-    запобігання втрати таких об'єктів у майбутньому.

Інформаційна безпека в різних сферах суспільства має свою специфіку. Так, наприклад, у політиці
інформаційна безпека стосується інформаційно-аналітичної діяльності дипломатичних представництв і
зовнішньо-економічних відомств, в економіці інформаційна безпека стосується захисту інформації у
банківських системах та мережах зв'язку, захисту конфіденційної економічної інформації від не-
санкціонованого доступу.

Поняття інформаційної безпеки тісно пов'язане із поняттям інформаційної загрози.

До інформації, що захищається, відносять:

 -    секретну інформацію (відомості, що містять державну
таємницю).
-    конфіденційну інформацію (відомості, що містять комерційну таємницю, а також таємницю, що
стосується особистого життя і діяльності громадян).

Таким чином, під інформацією, що захищається, розуміють відомості, на використання і поширення яких
введені обмеження їх власником.

Інформація, що захищається, має такі ознаки:

• засекречувати інформацію, тобто обмежувати до неї доступ, може тільки її власник або уповноважені ним
на те особи;

• чим важливіша для власника інформація, тим ретельніше він ії захищає. А для того, щоб усі, хто зіштов-
хується з інформацією, що захищається, знали, що деяку інформацію необхідно оберігати більш ретельно,
ніжіншу, власник призначає їй різний ступінь таємності;

• інформація, що захищається, повинна приносити визначену користь її власникові і виправдовувати

затрачувані на її захист сили і засоби.

Об'єктами захисту інформації виступають: документи, програми ЕОМ, ноу-хау, бази даних, тексти, на яких
зафіксована інформація, інші матеріальні носії інформації, захист яких передбачений державними
нормативними актами, внутрішніми постановами та розпорядженнями, іншими спеціальними документами.

Комерційна таємниця — ділова інформація, що спеціально охороняється власником, яка представляє для
нього цінність у плані досягнення переваги над конкурентами в одержанні прибутку, зафіксована в письмовій
або іншій матеріальній формі і знаходиться в його володінні, крім відомостей, віднесених до державної
таємниці, або віднесення яких до комерційної таємниці заборонено законодавством України.

Найбільш важливі види інформації, яких стосується проблема інформаційної безпеки: стратегічна
інформація, політична інформація, соціально-економічна інформація, воєнна інформація, наукова інформація.

2.2 Напрямки захисту інформації

Умовно виділяються три основних напрямки захисту інформації:

- Організаційно-технічне, в рамках якого створюється оболонка навколо об'єкта захисту, тобто

інформаційних ресурсів, з певною мірою надійності виключає або суттєво утрудняє проведення маніпуляцій з
інформацією в АС проти інтересів користувачів системи;

- Правове, спрямоване на створення імунітету, заснованого на загрозі застосування репресивного

інструменту відносно порушників інтересів користувачів системи, і встановлює механізм застосування санкцій
відносно правопорушника;

- Економічне, що передбачає механізм усунення матеріального збитку, завданого власнику інформації в

результаті несанкціонованих дій з нею з боку правопорушника.

Організаційно-технічне напрям захисту інформації є найбільш реальним напрямом у захисті інформації

підприємства.

У цьому напрямку доцільно виділити два основні завдання:

 1) забезпечення цілісності самої інформації і процесів її обробки, передачі та зберігання;

2) забезпечення конфіденційності інформації обмеженого доступу.

2.3 Методи захисту інформації

Вибір методів аналізу стану забезпечення інформаційної безпеки залежить від конкретного рівня і сфери
організації захисту. В залежності від загрози уможливлюється завдання щодо диференціації як різних рівнів
загроз, так і різних рівнів захисту. Що стосується сфери інформаційної безпеки, то у ній зазвичай виділяють:

1) фізичний;

2) програмно-технічний;

3) управлінський;

4) технологічний;

5) рівень користувача;

6) мережевий;

7) процедурний.

На фізичному рівні здійснюється організація і фізичний захист інформаційних ресурсів, інформаційних

технологій, що використовуються і управлінських технологій.

На програмно-технічному рівні здійснюється ідентифікація і перевірка дійсності користувачів, управління

доступом, протоколювання і аудит, криптографія, екранування, забезпечення високої доступності.

На рівні управління здійснюється управління, координація і контроль організаційних, технологічних і

технічних заходів на всіх рівнях з боку єдиної системи забезпечення інформаційної безпеки.

На технологічному рівні здійснюється реалізація політики інформаційної безпеки за рахунок застосування

комплексу сучасних автоматизованих інформаційних технологій.

На рівні користувача реалізація політики інформаційної безпеки спрямована на зменшення рефлексивного

впливу на об'єкти інформаційної безпеки, унеможливлення інформаційного впливу з боку соціального
середовища.

На мережевому рівні дана політика реалізується у форматі координації дій компонентів системи управління,
які пов'язані між собою однією метою.

На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні
групи процедурних заходів: управління персоналом, фізичний захист, підтримання працездатності, реагування
на порушення режиму безпеки, планування реанімаційних робіт.

Виділяють декілька типів методів забезпечення інформаційної безпеки:

• однорівневі методи будуються на підставі одного принципу управління інформаційною безпекою;

 • багаторівневі методи будуються на основі декількох принципів управління інформаційною безпекою,
кожний з яких слугує вирішення власного завдання. При цьому приватні технології не пов'язані між собою і
спрямовані лише на конкретні чинники інформаційних загроз;

• комплексні методи — багаторівневі технології, які об'єднані у єдину систему координуючими функціями на
організаційному рівні з метою забезпечення інформаційної безпеки, виходячи з аналізу сукупності чинників
небезпеки, які мають семантичний зв'язок або генеруються з єдиного інформаційного центру інформаційного
впливу;

• інтегровані високоінтелектуальні методи — багаторівневі, багатокомпонентні технології, які побудовані на

підставі могутніх автоматизованих інтелектуальних засобів з організаційним управлінням.

4. Основні поняття та задачі менеджменту інформаційної безпеки.

1. Основні поняття

У сучасних умовах світового соціально-економічного розвитку, особливо важливою областю стало

інформаційне забезпечення процесу управління, яке полягає у зборі й переробці інформації, необхідної для
прийняття обґрунтованих управлінських рішень.

Виникнення інформаційного менеджменту як самостійного виду діяльності рівною мірою зумовлене, з

одного боку, необхідністю підвищення ефективності при прийнятті управлінських рішень власне у сфері
інформатизації (внутрішні задачі ІМ), а з іншого, - збільшенням впливу інформаційних технологій на
ефективність основної діяльності суб’єктів господарювання (зовнішні задачі ІМ).

Передумовою введення спеціалізованого інформаційного менеджменту, як складової системи менеджменту

будь-якої організації стали:

 хронічне перевищення фактичних витрат на проекти інформаційних систем порівняно з запланованими

сумами, що часто супроводжується незадовільною якістю результатів розробки;
 надмірне зростання витрат на обслуговування ІС, які вже знаходяться в експлуатації, що гальмувало
створення і розвиток нових систем або підсистем через брак коштів;
 поглиблення суперечності між централізованими і децентралізованими технічними і технологічними
рішеннями.

Визначити дату і місце виникнення проблеми інформаційного менеджменту досить важко. Вона
усвідомлювалася паралельно менеджерами в різних сферах діяльності.

Останнім часом інформаційний менеджмент почав усе частіше розглядатися як самостійна галузь управління,
нарівні з фінансовим, операційним, стратегічним, інноваційним або менеджментом персоналу тощо. Навчальна
дисципліна з такою назвою включена до навчальних планів різних університетів. З’являються перші навчальні
посібники, що вже саме по собі свідчить про визнання, легалізацію й одночасно певний рівень вивченості
нового напрямку.

Разом із тим говорити про сформованість концепції інформаційного менеджменту як самостійного

наукового напрямку в теорії менеджменту ще зарано. Існує велика розбіжність щодо змістовного наповнення
поняття інформаційний менеджмент серед фахівців різних країн і різного наукового спрямування.

Одні з них сприймають його як управління процесами обробки інформації в організації, і тоді кажуть про
управління інформацією. Дійсно управління процесами обробки інформації має на меті документаційне
забезпечення управління організацією, що без сумніву є складовою частиною інформаційного менеджменту,
але не вичерпує його суті.
 Інші фахівці вважають, що інформаційний менеджмент - це управління процесами впровадження і
використання інформаційних технологій у діяльності фірми. Видається, що тут доречніше ввести поняття
менеджмент інформаційних технологій або ІТ-менеджмент і похідне від нього ІТ-менеджер для позначення
відповідної спеціальності. Зазначимо, що останнє набуває все більшого поширення. Однак, такий підхід, хоча і
перекриває значну частину професійного змісту інформаційного менеджменту в організації, також не повністю
охоплює усі його аспекти.

Розуміння інформаційного менеджменту як власне менеджменту також навряд чи є коректним, оскільки

менеджмент завжди має за об'єкт впливу конкретні організації, фірми. У цьому випадку краще говорити про
управління, а не про менеджмент.

Зазначимо, що нині однією з найважливіших для кожної країни світу, глобальною є проблема управління
сукупними інформаційними ресурсами суспільства. Для підприємств набувають ваги питання раціонального
використання зовнішніх і організації внутрішніх інформаційних ресурсів, які вирішуються, звичайно, в
контексті всієї інформаційної діяльності організації, а не ізольовано, самостійно. Таким чином управління
інформаційними ресурсами – це ще одна складова інформаційного менеджменту в організації як сукупності
процесів, пов’язаних з управлінням інформаційною діяльністю будь-якого об’єкта.

Ними виділяються два підходи до визначення ІМ - звужений та більш загальний, системний. Перший підхід
припускає, що ІМ є “синонімом” внутрішньофірмового управління обробкою даних, або дещо ширше,
управління інформаційними ресурсами.

Згідно з більш широким трактуванням, ІМ охоплює систематичне планування, організацію і контроль

інформаційної діяльності та інформаційних процесів, а також комунікації підприємства з метою поліпшення
його роботи. До нього входить вирішення таких задач, як забезпечення технічними та програмними засобами,
концептуальні та організаційні розробки (правила), які визначають інформаційну та комунікаційну структуру
підприємства, а також кадрова політика та юридичні питання, всі питання обробки даних, які включають
телефонний зв’язок, діловодство, бланкове господарство та ін. Тобто ІМ трактується як повне управління всією
інформаційною системою підприємства та її окремими компонентами, інформаційними ресурсами включно.

Аналіз різних концепцій і визначень ІМ дозволяє зробити такі висновки:

I. ІМ доцільно розглядати в контексті розвитку інформаційного ринку, інформаційних і комунікаційних

технологій та сучасних тенденцій зміни умов праці під їх впливом.
II. Концепція ІМ базується на загальній теорії менеджменту, але має свої особливості, зумовлені
особливостями предметів і знарядь праці, кінцевого продукту і самого процесу праці у сфері
інформаційної діяльності.
III. ІМ - передусім творчість, основу якого складає синтез знань з економіки, ділового адміністрування,
маркетингу, досліджень у сфері нових інформаційних технологій, інформатики, правових знань тощо.
IV. З одного боку, ІМ є однією з багатьох функцій управління, пов’язаною з інформаційною підтримкою
процесу прийняття рішень, а з іншого - це своєрідна всеосяжна функція, яка забезпечує ефективне
виконання всіх інших функцій.
V. Суттєво відрізняються також точки зору на елементи, об’єкти і функції ІМ, але чітко простежується
тенденція від більш простого (вузького) тлумачення до більш загального (системного) підходу, який
охоплює всі потенційні компоненти ІМ - технології, виробництво, персонал, інформаційне
забезпечення, інформаційні ресурси, інформаційні послуги та ринок.
VI. Інформаційний менеджмент об’єднує у собі сукупність методів і засобів управління інформаційною
діяльністю підприємства/організації. Інформаційний менеджмент включає питання організації джерел
інформації, засобів передачі даних, створення баз даних (БД), технологій обробки даних, забезпечення
безпеки даних. До кола задач ІМ входять також розробка, впровадження, експлуатація та розвиток
систем і мереж, що забезпечують діяльність підприємства/організації. В цих системах/мережах
 повинно бути забезпечене управління інформаційними ресурсами. Важливою є також організація та
забезпечення взаємодії з зовнішнім світом: мережами, базами даних тощо.
VII. Для розуміння сутності будь-якого процесу чи поняття зовсім не обов'язково прагнути сформулювати
вичерпне, науково-обґрунтоване визначення. Досить розглянути ті задачі та функціональні ролі, які
виконує ІМ, як складний, багатоаспектний процес, який знаходиться в постійному розвитку.
Професійні функції, які може виконувати інформаційний менеджмент в організації можна об’єднати в
такі групи:
1. вирішення організаційних питань і управління персоналом;
2. вирішення організаційних питань і управління інформаційним виробництвом;
3. управління інформаційними технологіями
4. управління інформаційними ресурсами;
5. інформаційний маркетинг.
VIII. Задачі ІМ повинні вирішуватися на стратегічному, тактичному (адміністративному) і оперативному
рівнях. За їх ефективне рішення відповідають інформаційні менеджери відповідної ланки (низової,
середньої та вищої). Для означення відповідної посади на практиці використовуються різні назви:
менеджер інформаційної системи, менеджер інформаційної служби, інформаційний аналітик, керівник
ІТ-підрозділу, керівник ІТ-департаменту, керівник інформаційної служби, керівник
загальнокорпоративної інформаційної служби, керівник обчислювального чи комп’ютерного центру,
менеджер з інформаційних зв’язків, ІТ-менеджер, спеціаліст з інформаційних систем, спеціаліст з
інформаційних технологій.
IX. Незалежно від того, чи є інфраструктура ІС (обладнання, зв’язок, засоби та заходи, що створюють
умови для інформаційної діяльності) “вмонтованою” в структуру конкретного об'єкта (незалежно від
рівня) або існує як самостійний господарський суб'єкт інформаційного ринку, задачі і функції ІМ
ідентичні. Відмінність - у ступені деталізації та повноті охоплення всіх функціональних ролей, які
виконує інформаційний менеджмент. Функціональні ролі залежать від видів інформаційної діяльності,
ступеню автоматизації інформаційного виробництва, номенклатури інформаційних продуктів і послуг
та ін.
X. Підприємства та організації, керівництво яких зуміло по-новому подивитись на свій комерційний
потенціал під кутом стратегічної ролі інформації для підтримки конкурентоспроможності та розвитку,
отримують великі прибутки. При цьому слід відмітити, що на практиці багато з методів ІМ
використовуються інтуїтивно, епізодично (здебільшого під іншими назвами), проте результати досить
вагомі.

Розглянемо основні підходи до розуміння інформаційного менеджменту (за О. Матвієнко):

1. ІМ розглядається у дуже широкому спектрі, а саме від традиційного інформаційного обслуговування

до загальної теорії управління;
2. ІМ розуміється як розроблення і реалізація внутрішньої і зовнішньої комунікативної політики
організації, причому мета діяльності у цій галузі відокремлюється від менеджменту управління,
впровадження і використання інформаційних технологій;
3. ІМ визначається як прикладна адміністративно-орієнтована технологія управління інформаційними
ресурсами. ІМрозглядається як новий тип управління організацією на основі комплексного
використання всіх видів інформації: науково-дослідної, технологічної, матеріально-технічної, кадрової,
фінансової та ін.

ІМ – це інноваційна діяльність, орієнтована на постійний пошук нових, більш ефективних способів
організації інформаційної діяльності, на створення матеріальних і соціальних передумов для ефективного
доступу до інформації і забезпечення інформаційно-комунікаційних процесів, на активізацію і розвиток
наявних інформаційних ресурсів і форм їх раціонального використання.

2. Мета і завдання інформаційного менеджменту.

Для розуміння сутності інформаційного менеджменту варто прийняти до уваги такі положення:
1. Інформація є комплексною категорією. Тобто вона може бути:

- умовою і засобом для ділового спілкування,

- засобом передачі суспільству відомостей про організацію,

- джерелом відомостей про зовнішнє середовище,

- товаром.

2. Інформаційний менеджмент відбувається у межах конкретної організації.

3. Інформація являє собою самостійний фактор виробництва, що лежить в основі процесу прийняття
управлінського рішення.

4. Інформаційний менеджмент має відношення не просто до інформації, а саме до інформаційної діяльності

організації.

Враховуючи це, можна узагальнити: інформаційний менеджмент – управління діяльністю, пов’язаною із

створенням та використанням інформації в інтересах організації.

Основною метою інформаційного менеджменту є забезпечення ефективного розвитку організації шляхом

регулювання різних видів її інформаційної діяльності.

У зв’язку з цим перед ІМ постає ряд певних завдань.

Головним завданням ІМ є інформаційна підтримка основної діяльності організації. Завдання ІМ, з цієї
точки зору, полягає в інтегруванні створених співробітниками індивідуальних інформаційних елементів
системи ( документи, справи, технології) на основі програми пошуку та на базі пропозицій через Інтернет і
відповідного маркетингу використовуваних інформаційних ресурсів.

Наступне завдання ІМ полягає у переробці різноманітного «масового продукту», що пропонується на

інформаційному ринку, в інформацію, релевантну діям – перехід від зовнішніх знань у знання, релевантні
внутрішнім рішенням.

Важливим завданням ІМ є вибір раціональних форм комунікацій, техніки та інформаційних технологій, а

також характеристик інформаційних ресурсів, необхідних для досягнення цілей організації.

Крім того, ІМ розв’язує завдання планування, керівництва, контролю та організації документного

забезпечення управління організацією за певними цільовими критеріями для підтримки узгоджених
організаційно-інформаційних дій членів організації.

ІМ стосується всіх функцій управління сучасної організації. Управлінський цикл містить чотири функції, –
це планування, організація, мотивація та контроль.

Ефективність діяльності управлінського апарату організації залежить від цілого ряду факторів:

 забезпечення організаційною й обчислювальною технікою;

 використання сучасних технологій;
 розподіл посадових обов’язків у рамках управлінської ланки;
 інформаційне забезпечення управлінської діяльності.

Інформація являє собою найважливіший організаційний ресурс. Вона входить у загальний комплекс ресурсів
фірми, поряд з кадровими, фінансовими й т.д.
 Інформація має багато спільних рис із іншими ресурсами:

 інформацію необхідно планувати з точки зору виявлення потреби в ній організації;

 витрати на одержання й використання інформації можна оцінити з економічної точки зору й вони
повинні входити в загальний баланс організації.
 інформаційні потреби можуть і повинні бути співвіднесені з можливостями їхнього задоволення, як із
внутрішніх, так і зовнішніх джерел.

При споживанні інформація не зникає, а змінює свою цінність.

Спеціаліст організації, працівник, керівник є не просто користувачами, яким постачається інформація, а

безпосередніми учасниками інформаційного процесу, найважливішою частиною ІМ.

5. Характеристика сучасної національної та міжнародної нормативної бази у сфері інформаційної

безпеки. Алгоритм впровадження системи менеджменту інформаційної безпеки.

Загальновизнано, що науково-технічний прогрес неможливий без широкомасштабного впровадження в

суспільне життя та управлінську діяльність держави, у різні сфери науки, техніки і виробництва сучасних
інформаційних технологій, електронно-обчислювальної техніки, інформаційних мереж і мереж електрозв'язку.

В сучасних умовах розвитку інформаційного суспільства активно розвивається інформаційна сфера, яка
поєднує в собі інформацію, інформаційну інфраструктуру, зокрема інформаційні мережі, інформаційні
відносини між суб'єктами цієї сфери, що складаються у процесі збирання, формування, розповсюдження і
використання інформації. Інформаційні відносини займають чільне місце у формуванні інформаційної політики
держави, в житті сучасного суспільства, а також в діловому та в особистому житті кожної людини. Це, в свою
чергу, обумовлює необхідність розвитку й удосконалення правових засобів регулювання суспільних відносин у
сфері інформаційної діяльності. Зрозуміло, що в демократичній правовій державі такі відносини мають
базуватися на сучасній нормативно-правовій базі, що регулює діяльність в інформаційній сфері.

Під час створення сучасної та ефективної системи забезпечення інформаційної безпеки істотного значення
набуває наявність відповідної нормативно-правової бази, без якої неможливо охопити усі сфери
життєдіяльності суспільства в рамках єдиного правового поля, розробити загальнонаціональну концепцію
розвитку держави й ефективно реалізовувати політику національної безпеки в інформаційній сфері. Це означає,
що всі без винятку дії щодо захисту й реалізації національних інтересів України в будь-якій сфері й на будь-
якому рівні мають передусім спиратися на чинне законодавство України, підтверджувати законність
функціонування системи національної безпеки. Водночас у демократичному суспільстві такі дії суб'єктів
забезпечення національної безпеки повинні відповідати національному законодавству, а також
загальновизнаним міжнародно-правовим нормам та бути під контролем громадськості.

З огляду на викладене законність функціонування є однією з головних вимог до системи забезпечення

інформаційної безпеки. Ця законність повинна базуватися на сукупності законів і підзаконних нормативних
актів, які спрямовані на створення необхідних умов для захисту національних інтересів в інформаційній та
інших сферах життя країни.

Так, зокрема, наявність необхідної та достатньої нормативної бази і механізмів її реалізації та контролю
дозволяє системі забезпечення національної безпеки України ефективно функціонувати в сучасних умовах.

Нормативна база інформаційної безпеки повинна виконувати в першу чергу три основні функції:

1. Регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та

відповідальність.

2. Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини,
суспільства, держави.

3. Встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки.

 Найбільш актуальним завданням у сфері забезпечення інформаційної безпеки держави на сьогодні є
формування відповідних положень національного інформаційного законодавства щодо правового забезпечення
діяльності в інформаційній сфері відповідних суб'єктів, у першу чергу державних органів, на які державою
покладено виконання пов'язаних з цим функцій.

За роки незалежності в Україні закладено законодавчі основи системи забезпечення інформаційної безпеки,
зокрема було напрацьовано великий масив нормативно-правових актів, де визначені основні повноваження
державних органів в інформаційній сфері. Акти національного законодавства, які регламентують діяльність
державних органів, організацій і громадян в інформаційній сфері, встановлюють повноваження державних
органів щодо забезпечення інформаційної безпеки України.

У структурі нормативно-правової бази забезпечення національної безпеки України в інформаційній сфері

особливе місце посідають укази та розпорядження Президента України, а також акти (постанови, декрети)
Кабінету Міністрів України. Ці нормативні акти є незаконними й видаються з метою конкретизації та
підвищення якості вирішення завдань забезпечення інформаційної безпеки.

Алгоритм впровадження системи менеджменту інформаційної безпеки 

Перший етап. Управлінський

1. Усвідомити цілі і вигоди впровадження СМІБ

2. Отримати підтримку керівництва на впровадження та введення в експлуатацію системи менеджменту
інформаційної безпеки (СМІБ)
3. Розподілити відповідальність за СМІБ

Другий етап. Організаційний

4. Створити групу з впровадження та підтримки СМІБ

5. Навчити групу з впровадження та підтримки СМІБ
6. Визначити область дії СМІБ

Третій етап. Початковий аналіз СМІБ

7. Провести аналіз існуючої СМІБ

8. Визначити перелік робіт з доопрацювання існуючої СМІБ

Четвертий етап. Визначення політики і цілей СМІБ

9. Визначити політику СМІБ

10. Визначити цілі СМІБ по кожному процесу СМІБ

П’ятий етап. Порівняння поточної ситуації зі стандартом

11. Провести навчання відповідальних за СМІБ вимогам стандарту

12. Опрацювати вимоги стандарту
13. Порівняти вимоги стандарту з існуючим станом справ

Шостий етап. Планування впровадження СМІБ

 14. Визначити перелік заходів для досягнення вимог стандарту
15. Розробити керівництво з інформаційної безпеки

Сьомий етап. Впровадження системи управління ризиками

16. Розробити процедуру з ідентифікації ризиків

17. Ідентифікувати і ранжувати активи Каталог “Модулі” методики ІТ-Грундшутц
18. Визначити відповідальних за активи
19. Оцінити активи
20. Ідентифікувати загрози та вразливості активів Каталог “Загрози” методики ІТ-Грундшутц
21. Розрахувати і ранжувати ризики
22. Розробити план по зниженню ризиків Каталог “Заходи захисту” методики ІТ-Грундшутц
23. Визначити непридатні контролі (напрями) безпеки з програми А
24. Розробити положення про застосування контролів

Восьмий етап. Розробка документації СМІБ

25. Визначити перелік документів (процедур, записів, інструкцій) для розробки

26. Розробка процедур та інших документів – управлінські процедури (стандарт на розробку документів,
управління документацією, записами; коригувальні і попереджуючі заходи; внутрішній аудит; управління
персоналом та ін) – технічні процедури (придбання, розвиток і підтримка інформаційних систем; управління
доступом; реєстрація та аналіз інцидентів; резервне копіювання; управління знімними носіями та ін) – записи
управлінські (звіти про внутрішні аудити, аналіз СМІБ з боку вищого керівництва; звіт про аналіз ризиків; звіт
про роботу комітету з інформаційної безпеки; звіт про стан коригувальних і запобіжних дій; договору; особисті
справи співробітників та ін) – записи технічні (реєстр активів; план підприємства; план фізичного розміщення
активів; план комп’ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту
технічного контролю після змін в операційній системі; логи інформаційних систем; логи системного
адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів з безперервності бізнесу та ін) –
інструкції, положення (правила роботи з ПК, правила роботи з інформаційною системою, правила поводження з
паролями, інструкція з відновлення даних з резервних копій, політика віддаленого доступу, правила роботи з
переносним обладнанням та ін)
27. Розробка і введення в дію документів СМІБ

Дев’ятий етап. Навчання персоналу

28. Навчання керівників підрозділів вимогам ІБ

29. Навчання всього персоналу вимогам ІБ

Десятий етап. Розробка та прийняття заходів щодо забезпечення роботи СМІБ

30. Впровадження засобів захисту – адміністративних – навчальних – технічних

Одинадцятий етап. Внутрішній аудит СМІБ

31. Підбір команди внутрішнього аудиту СМІБ

32. Планування внутрішнього аудиту СМІБ
33. Проведення внутрішнього аудиту СМІБ

Дванадцятий етап. Аналіз СМІБ з боку вищого керівництва

 34. Проведення аналізу СМІБ з боку вищого керівництва

Тринадцятий етап. Офіційний запуск СМІБ

35. Наказ про введення в дію СМІБ

Чотирнадцятий етап. Оповіщення зацікавлених сторін

36. Інформування клієнтів, партнерів, ЗМІ про запуск СМІБ

1. Практичні правила управління інформаційною безпекою, цілі та задачі управління інформаційною

безпекою на базі міжнародного стандарту ІSO/ІEC 27002.

ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Звід правил для управління інформаційною
безпекою» (англ.: Information technology – Security techniques – Code of practice for information security
management).

ISO/IEC 27002 встановлює принципи і загальні принципи розробки, впровадження, підтримки і поліпшення
управління інформаційною безпекою в організації. Цілі, викладені в стандарті, дозволяють забезпечити
загальне керівництво за загальноприйнятою мети управління інформаційною безпекою.

Відповідно до цього стандарту інформаційна безпека – це захист інформації від широкого діапазону загроз з
метою забезпечення безперервності бізнесу, мінімізації бізнес ризику і максимізації рентабельності інвестицій і
бізнес можливостей.

Інформаційна безпека досягається впровадженням відповідного набору управлінських заходів (далі – заходів),
який охоплює політику, процеси, процедури, організаційні структури і програмні та апаратні функції. Ці заходи
необхідно розробити, впровадити, моніторити, переглядати та, за необхідності, вдосконалювати для
гарантування того, що певні безпека та бізнес-цілі організації будуть досягнуті. Це треба виконувати узгоджено
з іншими процесами загального управління бізнесом.

В стандарті викладено детальний звід правил для управління інформаційною безпекою.

Попередня редакція цього стандарту є ISO/IEC 27002:2005.

Поточна версія стандарту складається з наступних основних розділів:

 Політика безпеки (Security policy)

 Організація інформаційної безпеки (Organization of information security)

 Управління ресурсами (Asset management)

 Безпека персоналу (Human resources security)

 Фізична безпека і безпека оточення (Physical and environmental security)

 Управління комунікаціями та операціями (Communications and operations management)

 Управління доступом (Access control)

 Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance)

 Управління інцидентами інформаційної безпеки (Information security incident management)

 Управління безперебійною роботою організації (Business continuity management)

  Відповідність нормативним вимогам (Compliance)

7. Основні заходи забезпечення безпеки інформаційних мереж.

Безпе́ка мере́жі — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового
або навмисного втручання в роботу мережі або спроб руйнування її компонентів. Безпека інформаційної мережі
включає захист обладнання, програмного забезпечення, даних і персоналу.

Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і
контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі
та мережі доступних ресурсів.

Мережева безпека охоплює різні комп'ютерні мережі, як державні, так і приватні, які використовуються в
повсякденних робочих місцях для здійснення угод і зв'язків між підприємствами, державними установами та
приватними особами. Мережі можуть бути приватними, такими як всередині компанії або відкритими, для
публічного доступу. Мережева безпека бере участь в організаціях, підприємствах та інших типів закладів.
Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та
відповідного паролю.

Мережева безпека починається з аутентифікації, що зазвичай включає в себе ім'я користувача і пароль. Коли
для цього потрібно тільки одна деталь аутентифікації (ім'я користувача), то це називають однофакторною
аутентифікацією. При двофакторній аутентифікації, користувач ще повинен використати маркер безпеки або
'ключ', кредитну картку або мобільний телефон, при трьохфакторній аутентифікації, користувач повинен
застосувати відбитки пальців або пройти сканування сітківки ока.

Після перевірки дійсності, брандмауер забезпечує доступ до послуг користувачам мережі. Для виявлення і
пригнічування дії шкідливих програм використовується антивірусне програмне забезпечення або системи
запобігання вторгнень (IPS).

Зв'язок між двома комп'ютерами з використанням мережі може бути зашифрований, щоб зберегти
конфіденційність.

Система безпеки мережі не ґрунтується на одному методі, а використовує комплекс засобів захисту. Навіть
якщо частина обладнання виходить з ладу, решта продовжує захищати дані Вашої компанії від можливих атак.

Встановлення рівнів безпеки мережі надає Вам можливість доступу до цінної ділової інформації з будь-якого
місця, де є доступ до мережі Інтернет, а також захищає її від загроз.

Система безпеки мережі:

Захищає від внутрішніх та зовнішніх мережних атак. Небезпека, що загрожує підприємству, може мати як
внутрішнє, так і зовнішнє походження. Ефективна система безпеки стежить за активністю в мережі, сигналізує
про аномалії та реагує відповідним чином.

Забезпечує конфіденційність обміну інформацією з будь-якого місця та в будь-який час. Працівники можуть
увійти до мережі, працюючи вдома або в дорозі, та бути впевненими у захисті передачі інформації.

Контролює доступ до інформації, ідентифікуючи користувачів та їхні системи. Ви маєте можливість

встановлювати власні правила доступу до даних. Доступ може надаватися залежно від ідентифікаційної
інформації користувача, робочих функцій, а також за іншими важливими критеріями.

Забезпечує надійність системи. Технології безпеки дозволяють системі запобігти як вже відомим атакам, так і
новим небезпечним вторгненням. Працівники, замовники та ділові партнери можуть бути впевненими у
надійному захисті їхньої інформації.

Ключові елементи захищених мережних служб

Брандмауери. Централізовані брандмауери та брандмауери окремих комп’ютерів можуть запобігати
проникненню зловмисного мережного трафіку до мережі, яка підтримує діяльність компанії.

Антивірусні засоби. Більш захищена мережа може виявляти загрози, що створюють віруси, хробаки та інше
зловмисне програмне забезпечення, і боротися з ним попереджувальними методами, перш ніж вони зможуть
заподіяти шкоду.

Знаряддя, які відстежують стан мережі, грають важливу роль під час визначення мережних загроз.

Захищений віддалений доступ і обмін даними. Безпечний доступ для всіх типів клієнтів із використанням
різноманітних механізмів доступу грає важливу роль для забезпечення доступу користувачів до потрібних
даних, незалежно від їх місцезнаходження та використовуваних пристроїв.

8. Організація управління доступом

Система контролю та управління доступом  (СКУД) - сукупність програмно-апаратних технічних засобів

безпеки, що мають на меті обмеження і реєстрацію входу-виходу об'єктів (людей, транспорту) на заданій
території через «точки проходу»: двері, ворота, КПП.

Основне завдання - управління та контроль доступом на задану територію (кого пускати, в який час і на яку
територію), включаючи також

 обмеження і контроль доступу на задану територію

 ідентифікація особи (ТС), що має доступ на задану територію

Додаткові задачі:

 облік робочого часу;

 розрахунок заробітної плати (при інтеграції з системами бухгалтерського обліку);
 ведення бази персоналу / відвідувачів;
 інтеграція з системою безпеки, наприклад:
o з системою відеоспостереження для поєднання архівів подій систем, передачі системі
відеоспостереження сповіщень про необхідність стартувати запис, повернути камеру для
запису наслідків зафіксованої підозрілої події;
o з системою охоронної сигналізації (СОС), для обмеження доступу в приміщення, що стоять на
охороні, або для автоматичного зняття і постановки приміщень на охорону.
o з системою пожежної сигналізації (СПС) для отримання інформації про стан пожежних
сповіщувачів, автоматичного розблокування евакуаційних виходів і закривання
протипожежних дверей у разі пожежної тривоги.

Мережеві СКУД.

У мережевій СКУД всі контролери з'єднані з центральним сервером. Мережеві системи зручні для великих
об'єктів (офіси, виробничі підприємства), оскільки керувати навіть десятком дверей, на яких встановлені
автономні системи, стає надзвичайно важко. Незамінні мережеві системи в наступних випадках:

 якщо необхідна інформація про події, що відбулися раніше або потрібен додатковий контроль в
реальному режимі часу. Наприклад, в мережевій системі існує функція фотоверифікації: на прохідній
при піднесенні людиною, що увійшла, ідентифікатора до зчитувача, службовець (вахтер, охоронець)
може на екрані монітора бачити фотографію людини, якій в базі даних привласнений даний
ідентифікатор, і порівняти із зовнішністю минаючого, що підстраховує від передачі карток іншим
людям;
 якщо необхідно організувати облік робочого часу і контроль трудової дисципліни;
  якщо необхідно забезпечити взаємодію (інтеграцію) з іншими підсистемами безпеки, наприклад,
відеоспостереженням або пожежною сигналізацією.

У мережній системі з одного місця можна не тільки контролювати події на всій території, що охороняється, а й
централізовано керувати правами користувачів, вести базу даних. Мережеві системи дозволяють організувати
кілька робочих місць, розділивши функції управління між різними співробітниками і службами підприємства.

У мережевих системах контролю доступу можуть застосовуватися бездротові технології (радіоканали).

Використання бездротових мереж найчастіше визначається конкретними ситуаціями: складно або неможливо
прокласти дротові комунікації між об'єктами, скорочення фінансових витрат на монтаж точки проходу і т.д.
Існує велика кількість варіантів радіоканалів, проте в СКУД використовуються тільки деякі з них.

 Bluetooth. Даний вид бездротового пристрою передачі даних являє собою аналог Ethernet. Його
особливість полягає в тому, що відпадає необхідність прокладати паралельні комунікації для
об'єднання компонентів при використанні інтерфейсу RS-485.
 Wi-Fi. Основна перевага даного радіоканалу полягає у великій дальності зв'язку, яка здатна досягати
декількох сотень метрів. Це особливо необхідно для з'єднання між собою об'єктів на великих відстанях.
При цьому скорочуються як тимчасові, так і фінансові витрати на прокладку вуличних комунікацій.
 ZigBee. Спочатку сферою застосування даного радіоканалу була система охоронної та пожежної
сигналізації. Технології не стоять на місці і активно розвиваються, тому ZigBee може
використовуватися і в системах контролю доступу. Дана бездротова технологія працює в
неліцензованому діапазоні 2,45 ГГц.
 GSM. Перевага використання даного бездротового каналу зв'язку & nbsp; - практично суцільне
покриття. До основних методів передачі інформації в розглянутій мережі відносяться GPRS, SMS і
голосовий канал.

Автономні СКУД.

Автономні системи дешевше, простіше в експлуатації, не вимагають прокладки сотень метрів кабелю,
використання пристроїв сполучення з сервером, самого сервера. При цьому до мінусів таких систем
відноситься неможливість створювати звіти, вести облік робочого часу, передавати й узагальнювати
інформацію про події, управлятися дистанційно. При виборі автономної системи з високими вимогами щодо
безпеки рекомендується звернути увагу на наступне:

Зчитувач повинен бути відділений від контролера, щоб дроти, по яких можливо відкривання замку, були
недоступні зовні.

Контролер повинен мати резервне джерело живлення на випадок відключення електроживлення.

Переважно використовувати зчитувач в вандалозахисному корпусі.

У складі автономної системи контролю доступу використовуються також електронні замки, передають
інформацію по бездротових каналах зв'язку: в двері встановлюється механічний замок з електронним
управлінням і вбудованим зчитувачем. Замок по радіоканалу пов'язаний з хабом, який вже по проводах
обмінюється інформацією з робочою станцією, на якій встановлено програмне забезпечення.

Основні елементи СКУД.

1. Перегороджуючі пристрої

Встановлюються на двері:

 Електрозщіпки — найменш захищені від злому, тому їх зазвичай встановлюють на внутрішні двері
(внутрішньоофісні і т. п.) Електрозащіпки, як і інші типи замків, бувають електричні, що відкриваються
(тобто двері відкриваються при подачі напруги живлення на замок), і електрично закриваються
 (відкриваються, як тільки з них знімається напруга живлення, тому рекомендовані для використання
пожежною інспекцією).
 Електромагнітні замки - практично всі замикаються при подачі на них електроживлення, тобто
придатні для установки на шляхах евакуації при пожежі.
 Електромеханічні замки - досить стійкі до злому (якщо замок міцний механічно), багато хто має
механічний перевзвод (це означає, що якщо на замок подали відкриваючий імпульс, він буде
розблокований до тих пір, поки двері не відкриють).

Встановлюються на проходах / проїздах:

 Шлюзові кабіни —використовуються в банках, на режимних об'єктах (на підприємствах з підвищеними

вимогами до безпеки).
 Ворота і шлагбауми - в основному, встановлюються на в'їздах на територію підприємства, на
автомобільних парковках і автостоянках, на в'їздах на прибудинкову територію, у двори житлових
будівель. Основна вимога - стійкість до кліматичних умов і можливість автоматизованого управління
(за допомогою системи контролю доступу). Коли мова йде про організацію контролю доступу проїзду,
до системи пред'являються додаткові вимоги - підвищена дальність зчитування міток, розпізнавання
автомобільних номерів (у разі інтеграції з системою відеоспостереження).

2. Ідентифікатори

Основні типи виконання - карточка, брелок, мітка. Є базовим елементом системи контролю доступу, оскільки
зберігає код, який служить для визначення прав («ідентифікації») власника. Це може бути Touch memory,
безконтактна карта (наприклад, RFID -мітки), або застріваючий тип карт із магнітною смугою. В якості
ідентифікатора може виступати так само код, що вводиться на клавіатурі, а також окремі біометричні ознаки
людини & nbsp; - відбиток пальця, малюнок сітківки або райдужної оболонки ока, тривимірне зображення
особи, малюнок капілярних ліній долоні.

Надійність (стійкість до злому) системи контролю доступу в значній мірі визначається типом
використовуваного ідентифікатора: наприклад, найбільш поширені безконтактні карти proximity можуть
підробляти в майстернях з виготовлення ключів на обладнанні, що є у вільному продажу. Тому для об'єктів, що
вимагають більш високого рівня захисту, подібні ідентифікатори не підходять. Принципово вищий рівень
захищеності забезпечують RFID-мітки, в яких код карти зберігається в захищеній області та шифрується.

3. Контролери

Це ключовий елемент системи: саме контролер визначає, пропустити чи ні власника ідентифікатора через точку
проходу, оскільки зберігає коди ідентифікаторів зі списком прав доступу кожного з них. Коли людина
пред'являє (підносить до зчитувального пристрою) ідентифікатор, зчитаний з нього код порівнюється з
зберігаються в базі, на підставі чого приймається рішення про відкриття точки проходу. Контролер для своєї
роботи вимагає електроживлення, тому контролери, як правило, мають власний акумулятор, який підтримує
його працездатність від декількох годин до декількох діб на випадок аварії електромережі.

4. Зчитувачі

Це пристрій, який отримує («зчитує») код ідентифікатора і передає його в контролер. Варіанти виконання
зчитувача залежать від типу ідентифікатора: для «таблетки» - це два електричних контакта (у вигляді «лузи»),
для proximity-карти - це електронна плата з антеною в корпусі, а для зчитування, наприклад, малюнка
райдужної оболонки очі до складу зчитувача повинна входити телевізійна камера. Якщо зчитувач
встановлюється на вулиці (ворота, зовнішні двері будівлі, проїзд на територію автостоянки), то він повинен
витримувати кліматичні навантаження - перепади температур, опади - особливо, якщо мова йде про об'єкти в
районах з суворими кліматичними умовами. А якщо існує загроза вандалізму, необхідна ще і механічна
міцність (сталевий корпус). Окремо можна виділити зчитувачі для дальньої ідентифікації об'єктів (з відстанню
ідентифікації до 50 м.). Такі системи зручні на автомобільних проїздах, парковках, на в'їздах на платні дороги і
т.п. Ідентифікатори (мітки) для таких зчитувачів, як правило, активні (містять вбудовану батарейку).
9. Технології аудиту інформаційної безпеки. Практичні кроки аудиту інформаційної безпеки. Задачі, що
вирішуються при проведенні аудиту.

Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про
поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками
безпеки.
Інформаційна безпека — стан збереження інформаційних ресурсів і захищеності законних
прав особистості і суспільства в інформаційній сфері.
Аудит дозволяє оцінити поточну безпеку функціонування інформаційної системи, оцінити й прогнозувати
ризики, управляти їх впливом на бізнес-процеси фірми, коректно й обґрунтовано підійти до питання
забезпечення безпеки її інформаційних активів, стратегічних планів розвитку, маркетингових програм,
фінансових і бухгалтерських відомостей, вмісту корпоративних баз даних. У кінцевому рахунку, грамотно
проведений аудит безпеки інформаційної системи дозволяє домогтися максимальної віддачі від коштів,
інвестованих у створення та обслуговування системи безпеки фірми.

Основні напрямки діяльності в області аудиту безпеки інформації

Основні напрямки аудиту інформаційної безпеки деталізуються на наступні: атестацію; контроль захищеності
інформації; спеціальні дослідження технічних засобів і проектування об'єктів в захищеному виконанні [2].

1. Атестація об'єктів інформатизації за вимогами безпеки інформації:

 атестація автоматизованих систем, засобів зв'язку, обробки і передачі інформації;
 атестація приміщень, призначених для ведення конфіденційних переговорів;
 атестація технічних засобів, встановлених у виділених приміщеннях.
2. Контроль захищеності інформації обмеженого доступу:
 виявлення технічних каналів витоку інформації та шляхів несанкціонованого доступу до неї;
 контроль ефективності застосовуваних засобів захисту інформації.
3. Спеціальні дослідження технічних засобів на наявність побічних електромагнітних випромінювань і
наведень (ПЕМВН):
 персональні ЕОМ, засоби зв'язку та обробки інформації;
 локальні обчислювальні системи;
 оформлення результатів досліджень у відповідності з вимогами Держтехкомісій.
4. Проектування об'єктів в захищеному виконанні:
 розробка концепції інформаційної безпеки;
 проектування автоматизованих систем, засобів зв'язку, обробки і передачі інформації в
захищеному виконанні;
 проектування приміщень, призначених для ведення конфіденційних переговорів.

Види і цілі аудиту

Зовнішній аудит — це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або
акціонерів. Зовнішній аудит рекомендується (а для деяких фінансових установ і акціонерних товариств
потрібно) проводити регулярно.
Внутрішній аудит являє собою безперервну діяльність, яка здійснюється на підставі документа, що зазвичай
носить назву «Положення про внутрішній аудит», та у відповідності з планом, підготовка якого здійснюється
підрозділом внутрішнього аудиту та затверджується керівництвом організації. Аудит безпеки інформаційних
систем є однією з складових ІТ—аудиту.
Цілями проведення аудиту безпеки є: — аналіз ризиків, пов'язаних з можливістю здійснення загроз безпеки у
відношенні до ресурсів ІС; — оцінка поточного рівня захищеності ІС; — локалізація вузьких місць у системі
захисту ІС; — оцінка відповідності ІС існуючим стандартам в галузі інформаційної безпеки; — вироблення
рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС [3].
Представлені Аудитору рапорти про інциденти СІБ повинні містити документацію про так звані «слабкі точки»
СІБ.
У число додаткових завдань, що стоять перед внутрішнім аудитором, крім надання допомоги зовнішнім
аудиторам, можуть також входити: — розробка політик безпеки та інших організаційно—розпорядчих
документів із захисту інформації та участь у їх впровадженні в роботу організації; — постановка завдань для ІТ
—персоналу, що стосуються забезпечення захисту інформації; — участь у навчанні користувачів і
обслуговуючого персоналу ІС питань забезпечення інформаційної безпеки; — участь у розборі інцидентів,
пов'язаних з порушенням інформаційної безпеки; — інші завдання.
Основні етапи
Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам
проведення комплексного ІТ—аудиту автоматизованої системи, що включає в себе:

 ініціювання процедури аудиту;

 збір інформації аудиту;
 аналіз даних аудиту;
 вироблення рекомендацій;
 підготовку аудиторського звіту[3].
На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:

1. права та обов'язки аудитора повинні бути чітко визначені і документально закріплені в його посадових
інструкціях, а також у положенні про внутрішній (зовнішній) аудит;
2. аудитором повинен бути підготовлений і узгоджений з керівництвом план проведення аудиту;
3. у положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов'язані
сприяти й надавати аудитору всю необхідну для проведення аудиту інформацію.
На етапі ініціювання процедури аудиту мають бути визначені межі проведення обстеження. План і межі
проведення аудиту обговорюються на робочому зборах, в яких беруть участь аудитори, керівництво компанії і
керівники структурних підрозділів.
Етап збору інформації аудиту є найбільш складним і тривалим. Це пов'язано переважно з відсутністю
необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма
посадовими особами організації.
Компетентні висновки щодо стану справ у компанії з інформаційною безпекою можуть бути зроблені
аудитором лише за умови наявності всіх необхідних вихідних даних для аналізу. Перший пункт аудиторського
обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих
підрозділів. Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики й вимоги
безпеки, що пред'являються до системи. Далі, аудитору потрібно більш детальна інформація про структуру ІС.
Це дозволить усвідомити, яким чином здійснюється розподіл механізмів безпеки структурними елементами та
рівнями функціонування ІС.
Методи аналізу даних, що икористовуються аудиторами, визначаються вибраними підходами до проведення
аудиту, які можуть істотно розрізнятися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор
визначає для обстежуваної ІС індивідуальний набір вимог безпеки, найбільшою мірою враховує особливості
даної ІС, середовища її функціонування та існуючі в даному середовищі загрози безпеки.
Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти
визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення
світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності
ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також
призначення (фінанси, промисловість, зв'язок і т. ін.). Від аудитора в даному випадку потрібно правильно
визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, припускає комбінування двох перших. Базовий набір вимог безпеки, що
пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують
особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним
підходом, особливостями обстежуваної ІС, станом справ з безпекою і ступенем деталізації, що
використовується при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути
конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими
результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту
організаційного рівня практично завжди мають пріоритет над конкретними програмно—технічними методами
захисту. У той же час не варто чекати від аудитора, як результату проведення аудиту, видачі технічного
проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних
програмно—технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних
питань організації захисту, хоча внутрішні аудитори можуть приймати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи
аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС,
вказівку меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки,
Узагальнювальні ці результати містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і,
звичайно, рекомендації аудитора по усуненню наявних недоліків і вдосконалення системи захисту.
Аудит ІС та/або ІТС проводиться на відповідність вимогам:

 Нормативних документів у галузі технічного захисту інформації України (НД ТЗІ).

 ISO/IEC 27001:2005.
 PCI DSS[4].

10. Принципи аналізу і управління інформаційними ризиками. Оцінка інформаційних ризиків з

використання методів системного аналізу.

Із стрімким розвитком інформаційних технологій, найважливішим ресурсом у світі стала інформація. Та чим
важливіший ресурс тим більше він потребує захисту. Адже інформація зберігає свою цінність до тих пір, поки
вона секретна. Для забезпечення інформаційної безпеки використовується управління та оцінка ризиками.

Метою процесу управління ризиками інформаційної безпеки є виявлення, контроль та мінімізація

невизначеності впливу чинників дестабілізації. Виділяється чотири основні етапи управління ризиками
інформаційної безпеки, яке здійснюється з метою забезпечення неперервності функціонування корпоративної
мережі зв’язку, зокрема підсистеми систем захисту інформації:

1. Аналіз ризику. Виявлення та оцінка чинників дестабілізації, які можуть скомпрометувати важливих
інформаційних активів. Дає змогу визначити профілактичні заходи щодо зниження ймовірності виникнення
чинників дестабілізації і визначити контрзаходи з метою успішної нейтралізації цих обмежень ще на етапі
проектування.

2. Оцінка ризику. Є процесом визначення рівня ризику. Ризик традиційно обчислюватимемо як функцію
важливості активів, ймовірності виникнення загрози і наявності вразливостей, величини завданого збитку.

3. Зниження ризику. Це етап, на якому реалізовуються контролі та заходи щодо запобігання визначеним
ризикам, а також впроваджуються засоби відновлення у разі реалізації ризиків, що можуть порушити
неперервне функціонування систем захисту інформації.

4. Оцінка вразливостей та контролів. Аналіз основних властивостей корпоративної мережі зв’язку та виявлення
тих, які можна використати з метою реалізації загрози порушення властивості живучості, а також визначення
ефективності та адекватності заходів інформаційної безпеки та виявлення недоліків в її реалізації. Представимо
графічне зображення життєвого циклу процесу управління ризиками інформаційної безпеки в контексті
забезпечення неперервності функціонування.

Нижче наведені короткі описи ряду поширених методи аналізу ризиків. Їх можна розділити на:

1. Методики, які використовують оцінку ризику на якісному рівні (наприклад, за шкалою «високий»,
«середній», «низький»). До таких методи, зокрема, відноситься FRAP;

2. Кількісні методики (ризик оцінюється через числове значення, наприклад розмір очікуваних річних втрат).
До цього класу належить методика RiskWatch;

3. Методики, які використовують змішані оцінки (такий підхід використовується в CRAMM, та такою
методикою користується корпорація Microsoft).

Отже, аналіз ризиків потребує терпіння, чесності та досвіду роботи системного аналітика. У свою чергу це
вимагає наполегливості, самонавчання та постійного моніторингу сучасних методик та технологій оцінки
ризиків. Завдяки цьому – управління та оцінка ризиків інформаційної системи забезпечуватиме цінність, захист
та безпеку інформації, котра обробляється, використовується та циркулює у межах організації.