Характеристика методів і засобів забезпечення захисту інформації. Особливості впровадження міжнародних стандартів забезпечення інформаційної безпеки на підприємствах в Україні. Адаптація стандарту ISO/IEC 27001:2005 у структурах державного управління.
Аннотация к работе
Ця робота здійснюється в межах вивчення основних стандартів забезпечення інформаційної безпеки провідних країн світу, таких як країни ЄС та США та їх використання в забезпеченні інформаційної безпеки в Україні. Термін "безпека" розуміють як стан захищеності життєво важливих інтересів особи, суспільства, держави від внутрішніх та зовнішніх загроз. Сьогодні точиться дискусія навколо цього питання, зокрема навколо оцінки критеріїв безпеки, характеристик вірогідних небезпек та їх структури або принципів побудови системи забезпечення національної безпеки. Стандартизація - діяльність, що полягає у встановленні положень для загального і 6агаторазового застосування щодо наявних чи можливих завдань з метою досягнення оптимального ступеня впорядкування у певній сфері, результатом якої є підвищення ступеня відповідності продукції, процесів та послуг їх функціональному призначенню, усуненню барєрів у торгівлі і сприянню міжнародному співробітництву. Вивчення науково-теоретичних та практичних проблем інформаційної безпеки, дозволить визначити та розвязати завдання щодо створення системи інформаційної безпеки відповідно до міжнародних стандартів, які б функціонували ефективно.Таким щодо інформаційної безпеки е поняття безпеки, яке характеризує певний процес управління загрозами та небезпеками. Поняття процес відрізняється від поняття стан. Поняття процес означає послідовність станів, повязаність стадій їх зміни і розвитку, тобто на відміну від поняття "стан", поняття "процес" акцентує увагу на моменті спрямованості в зміні обєкта, цілепокладанні, тоді як "стан" відображає лише один момент, певну мить безпеки, а отже не вичерпує її повністю. Ярочкін визначає безпеку як "стан захищеності особи, суспільства і держави від зовнішніх та внутрішніх небезпек і загроз, який базується на діяльності людей, суспільства, держави, світового співтовариства з виявлення (вивчення), попередження, послаблення, ліквідації і відбиття небезпек і загроз, здатних загубити їх, лишити фундаментальних матеріальних і духовних цінностей, завдати неприйнятної шкоди, закрити шлях для прогресивного розвитку". Інформаційна безпека - складова національної безпеки, процес управління загрозами та небезпеками державними і недержавними інституціями, окремими громадянами, за якого забезпечується інформаційний суверенітет України; вдосконалення державного регулювання розвитку інформаційної сфери, впровадження новітніх технологій у цій сфері, наповнення внутрішнього та світового інформаційного простору достовірною інформацією про Україну; активне залучення засобів масової інформації до боротьби з корупцією, зловживанням службовим становищем, іншими явищами, які загрожують національній безпеці України; неухильне дотримання конституційного права громадян на свободу слова доступу до інформації, недопущення неправомірного втручання органів державної влади, органів місцевого самоврядування, їх посадових осіб у діяльність засобів масової інформації, дискримінації в інформаційній сфері і переслідування журналістів за політичні позиції; вжиття комплексних заходів щодо захисту національного інформаційного простору та протидії монополізації інформаційної сфери України.У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати такі як універсальність, гнучкість, гарантованість, реалізація та актуальність. Актуальність відображає відповідальність вимогам та критеріям стандарту множені загроз безпеки які постійно розвиваються та найновішим методам та засобам, які використовуються злочинцями. Керівні документи ГТК за конкретністю своїх вимог переросли навіть рівень “Оранжевої книги”, так як докладно регламентують реалізацію функцій захисту (наприклад, це єдиний стандарт, котрий в ультимативній формі потребує споживання криптографії), що значно знижує зручність їх використання, у конкретних ситуаціях багато вимог часто виявляються збитковими та непотрібними. Нарешті, “Єдині критерії” мають практично зроблену гнучкість, тому що дозволяють споживачам висловити свої вимоги за допомогою механізму профілів захисту, у формі інваріантної до механізмів реалізації, а виробникам - продемонструвати за допомогою проекту захисту, як ці вимоги перетворяться в задачі захисту і реалізуються на практикці. короткий опис політики безпеки, принципів, стандартів і нормативних вимог, що мають певне значення для організації, наприклад: відповідність вимогам законодавства й умовам контрактів; вимоги до освітньої підготовки в галузі безпеки; захист від вірусів й інших зловмисних програм; підтримка безперервності бізнесу; наслідки порушення політики безпеки; визначення загальних і приватних обовязків з управління інформаційною безпекою, у тому числі надання відомостей про інциденти; посилання на документацію, що може доповнювати опис політики, наприклад, більш докладні описи політик й інструкцій для конкретних інформаційних систем або правила безпеки, які повинні дотримуватися корис