Големина на текста:
ISO 17799 И COBRA. АНАЛИЗ ЗА СЪОТВЕТСТВИЕ
ст. н.с. II ст. д.т.н. Веселин Ценов Целков
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
АНОТАЦИЯ
Развитието на информационното общество, стратегиите за информационни войни и
информационен тероризъм и престъпления, поставят въпроса за защитата на
информацията в компютърните системи и мрежи като един от основните въпроси за
осигуряване на информационната сигурност. Целта на настоящата работа е да се
направи представяне на приложението на програмната система COBRA [9] в процеса на
одит за съответствие по стандарта ISO 17799 (BS 7799) [6,7] на системата за
информационна сигурност на една Организация. Изследванията са извършени в
Специализираното Висше Училище по Библиотекознание и Информационни
Технологии.
Ключови думи: информационна сигурност, политика за сигурност, стандарти за
информационна сигурност, ISO 17799, BS 7799, COBRA
1. ВЪВЕДЕНИЕ
Развитието на Internet, като най-голямата световна мрежа, я поставя в основата на
взаимодействията в Информационното Общество [1, 2]. Все повече корпоративни
информационни системи (държавни и частни) се изграждат на базата на Интернет
технологиите. С това се увеличават заплахите и атаките, и въпросите за сигурността на
информацията в компютърните системи и мрежи на отделната Организация стават по-
сериозни и актуални. Анализът и оценката на информационната сигурност на
Организацията заемат съществено място при изграждане на системата за сигурност.
2. ИНФОРМАЦИОННА СИГУРНОСТ
С развитието на информационните взаимодействия и увеличаването на атаките върху
компютърните системи, въпросите за компютърната сигурност стават по-сериозни [3,
5]. Компютърната сигурност защитава компютъра и всичко, свързано с него - сградата,
стаите, терминалите, принтерите, кабелите, дисковете и лентите. Най-важното е, че
компютърната сигурност защитава информацията, съхранявана в системата. Ето защо
компютърната сигурност често се нарича информационна сигурност.
Информационната сигурност
Информационната сигурност осигурява: тайна;
2
цялостност; наличност.
Политика за сигурност
Политиката на сигурност е множеството от правила и практики, които определят как
една организация управлява, защитава и разпределя информацията. Това е рамката, в
която една система осигурява защитата и се изразява в описанието на средствата за
защита, обектите на защита, служби и механизми и основни практически принципи.
Две са изходните точки при дефинирането на политиката на компютърната сигурност:
Кои ресурси трябва да се защитят? Срещу какви заплахи трябва да се защити
компютъра?
3. ISO 17799 И COBRA
3.1. ISO 17799
Стандартът ISO 17799:2000 съдържа препоръки за управление на информационната
сигурност на една Организация. Той покрива различни аспекти на сигурността като:
Планиране на кризисни ситуации; Физическа сигурност; Въпроси на сигурността,
свързани с персонала; Контрол на достъпа до информационните системи; Сигурност
при разработка и поддръжка на информационни системи.
ISO 17799:2000 представя най-добрите практики по сигурността, които могат да бъдат
приложени във всяка компания, независимо от нейния размер и специфика на
дейността. Стандартът не е обвързан с определена информационна технология. От своя
страна стандартът BS 7799-2 дефинира изисквания към системи за информационна
сигурност. Изграждането на система за информационна сигурност в съответствие с
изискванията на двойката стандарти ISO 17799:2000 / BS7799-2 е един от най-
подходящите начини за управление на рисковете, свързани с информацията във всяка
една Организация.
3.2. ISO 17799, КРИТИЧНИ ФАКТОРИ ЗА УСПЕХ
ISO 17799 идентифицира десетте най-важни фактора, които са основа за успешната
реализация на сигурността в Организацията. Те са както следва: Един подход към
информационната сигурност, който отразява културата на Организацията; Политиката
за информационна сигурност, обекти и дейности, които са свързани с дейностите на
Организацията; Задължения за сигурността на всички нива на управлението; Добро
разпределение на стандартите и ръководствата за информационна сигурност;
3
Прилагане на ефективни мерки в системата за информационна сигурност; Подходящо
финансиране на дейностите по информационна сигурност; Адекватно убеждение,
обучение и тренировки; Реакции от системата за управление на инцидентите, свързани
с информационната сигурност; Добро разбиране на изискванията и риска за
информационната сигурност; Ефективно разбиране за сигурността „от край до край”
през целия бизнес процес на Организацията.
3.3. ISO 17799, COBRA
COBRA е програмен продукт, подпомагащ извършването на одит за информационна
сигурност на една Организация, в съответствие с ISO 17799 (BS 7799). Базиран е на
попълване на въпросници и оценка на получените отговори. Състои се от два основни
модула: Анализ за съответствие; Консултант за риска.
Анализ за съответствие
В модула се проверява съответствието на системата за информационна сигурност с
изискаванията на ISO 17799 (BS 7799).
Консултант за риска
Основното назначение на модула е анализ и оценка на риска. В модула са включени:
Оценка на риска на най-високо ниво; Оценка на риска на информационните
технологии; Оценка на риска на информационните технологии и бизнес операциите;
Оценка на риска в инфраструктурата.
Компоненти на COBRA
Основните компоненти на COBRA във всеки един от изброените модули са:
Конструктор на въпросници (могат да се използват и стандартно заложени); Контрол на
риска; Генератор на доклади.
4. АНАЛИЗ ЗА СЪОТВЕТСТВИЕ. ВЪПРОСНИК
Представени са отделните компоненти (модули) на основния модул Анализ за
съответствие. За всеки модул са дадени описанието на модула, предметите на одит и
брой на въпросите в модула. Направено е обобщение.
Модул A: ПОЛИТИКА ЗА СИГУРНОСТ Описание: СЕКЦИЯ 5 – ПОЛИТИКА ЗА
СИГУРНОСТ
Предметът на тази секция е да осигури директно управлението и поддръжката на
информационната сигурност на Организацията, в
4
съответствие с изискванията на бизнеса и съответните закони и нормативни актове.
Брой въпроси: 9
Модул B: СИГУРНОСТ НА ОРГАНИЗАЦИЯТА Описание: СЕКЦИЯ 6 – СИГУРНОСТ
НА ОРГАНИЗАЦИЯТА
Предмети на одит в тази секция са:
o Управлението на информационната сигурност вътре в Организацията;
o Поддържането на сигурността на средствата, осигуряващи информационните процеси
на Организацията и информационните предимства от достъп от трети страни;
o Поддържането на сигурността на информацията, когато отговорността за
информационните процеси се осигурява (has been outsourced) от друга организация.
Брой въпроси: 15
Модул C: УПРАВЛЕНИЕ НА АКТИВИТЕ Описание: СЕКЦИЯ 7 – УПРАВЛЕНИЕ НА
АКТИВИТЕ
Предмети на одит в тази секция са:
o Поддържането на подходяща защита на активите на Организацията;
o Осигуряване на съответното ниво на защита на информационните активи на
Организацията. Брой въпроси: 10
Модул D: ЧОВЕШКИ РЕСУРСИ Описание: СЕКЦИЯ 8 – СИГУРНОСТ НА
ЧОВЕШКИТЕ РЕСУРСИ
Предмети на одит в тази секция са:
o Осигуряването, че служителите, партньорите и другите потребители разбират техните
отговорности и вземат предвид техните роли за редуцирането (намаляването) на риска
от кражби, измами или неправилно използване на средствата;
o Осигуряването, че служителите, партньорите и другите потребители са осъзнали
(знаят) заплахите и уязвимостите за информационната сигурност и са подготвени
(оборудвани) да осигурят изпълнението на политиката за сигурност на Организацията в
тяхната нормална работа;
o Осигуряването, че служителите, партньорите и другите потребители напускат
Организацията или сменят ролите (длъжносттите) си по контролиран начин. Брой
въпроси: 12
Модул E: ФИЗИЧЕСКА СИГУРНОСТ И СИГУРНОСТ НА СРЕДАТА Описание:
СЕКЦИЯ 9 – ФИЗИЧЕСКА СИГУРНОСТ И СИГУРНОСТ НА СРЕДАТА
Предмети на одит в тази секция са:
5
o Предотвратяването на неоторизиран достъп, повредите и физическите увреждания на
помещенията и информацията на Организацията;
o Предотвратяването на загуба, повреждане или компроментиране на активите или
прекъсване на дейностите на Организацията;
o Предотвратяването на компроментиране или кражба на информация и устройства за
информационните процеси. Брой въпроси: 17
Модул F: КОМУНИКАЦИИ И ОПЕРАЦИИ Описание: СЕКЦИЯ 10 – УПРАВЛЕНИЕ
НА КОМУНИКАЦИИТЕ И ОПЕРАЦИИТЕ
Предмети на одит в тази секция са:
o Осигуряването на правилното и сигурно функциониране на комуникационно-
информационните средства;
o Прилагането и използването на съответстващи нива на информационна сигурност и
услуги за предаване, в случаите когато трета страна осигурява предаването;
o Минимизирането на риска за системни откази;
o Защитата на цялостността на програмното осигуряване (software) и информацията;
o Запазването на цялостността и наличността на информационните процеси и
комуникациите;

Това е само предварителен преглед

За да разгледате всички страници от този документ натиснете тук.
Последно свалили материала:
ДАТА ИНФОРМАЦИЯ ЗА ПОТРЕБИТЕЛЯ
02 мар 2018 в 19:12 студент на 35 години от Варна - ВСУ "Черноризец Храбър", факулетет - Юридически факултет, специалност - Противодействие на престъпността и опазване на обществения ред, випуск 2020
27 яну 2018 в 06:48 в момента не учи на 29 години
01 май 2015 в 10:17 студент на 40 години от София - Технически университет
10 мар 2015 в 10:37 студентка на 26 години от Русе - Русенски университет "Ангел Кънчев", факулетет - Факултет бизнес и мениджмънт, специалност - Маркетинг, випуск 2015
20 юни 2014 в 20:04 в момента не учи на 45 години от София
17 фев 2014 в 19:30 в момента не учи на 43 години
 
Домашни по темата на материала
Информационни аспекти на сигурността
добавена от Apu3JL 19.04.2012
0
50
Подобни материали
 

Проверка на самоличност, задържане, правни гаранции


28ми въпрос проверка на самоличност, задържане и отвеждане на лица. Правни гаранции Полицейските органи могат да извършват проверка за установяване на самоличността на лице: *за което има данни, че е извършило престъпление или друго нарушение на общ...
 

Полицеиско право


Има около 200 определения за НцС. Понятие за национална сигурност - когато липсват заплахи срещу държавата или при наличието на такива, страната може да ги преодолее. В този аспект не следва да се разглежда като елемент на...
 

Мерки срещу изпирането на пари


Изпирането на пари е съществувало още през Средновековието, когато широко разпространено било морското пиратство...
 
Онлайн тестове по Полиция, отбрана, национална сигурност
Тест по международна сигурност
изходен тест по Полиция, отбрана, национална сигурност за Студенти
Изпитен тест по "Международна сигурност" в Софийския университет. Преподаватели: проф. П. Пантев, проф. Г. Стефанов. Въпросите са само с един верен отговор.
(Труден)
10
131
1
1 мин
15.06.2012
Тест по "Същност на класифицираната информация" за 2-ри курс
изпитен тест по Полиция, отбрана, национална сигурност за Студенти от 2 курс
Тестът е за полагане на изпит по дисциплината "Същност на класифицираната информация и процедури по ЗЗКИ", студенти от 2 курс. Съдържа 24 въпроса, като всеки от тях има само един верен отговор.
(Труден)
24
66
1
2 мин
14.10.2013
» виж всички онлайн тестове по полиция, отбрана, национална сигурност

Кобра

Материал № 377534, от 30 сеп 2009
Свален: 71 пъти
Прегледан: 87 пъти
Качен от:
Предмет: Полиция, отбрана, национална сигурност
Тип: Курсова работа
Брой страници: 6
Брой думи: 1,163
Брой символи: 11,493

Потърси помощ за своята домашна:

Имаш домашна за "Кобра"?
Намери бързо решение, с помощтта на потребители на Pomagalo.com:

Намери частен учител

Виолета Георгиева
преподава по Финансов контрол
в град София
с опит от  3 години
121 32

виж още преподаватели...
Последно видяха материала
Сродни търсения