НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

ФАКУЛЬТЕТ КІБЕРБЕЗПЕКИ ТА ПРОГРАМНОЇ

ІНЖЕНЕРІЇ

Кафедра Засобів захисту інформації

Лабораторна робота №1

З дисципліни: Управління інформаційною безпекою

Тема: «Обґрунтування необхідності побудови системи менеджменту

інформаційної безпеки. Дослідження системи законодавства у сфері
інформаційних відносин.»

Виконав: Студент СЗ-384Б

Кисельов Андрій

Викладач: Бурбела О. О.

2024р.
 ISO 27001 - це міжнародний стандарт для управління
інформаційною безпекою. СМІБ (система маніпулювання інформацією в
офісах) впроваджується на основі цього стандарту для забезпечення
безпеки обробки, передачі та зберігання інформації в офісному
середовищі. Розглянемо переваги впровадження СМІБ на основі стандарту
ISO 27001:
1. Захист інформації: Стандарт ISO 27001 надає фреймворк для
ідентифікації, аналізу та управління ризиками інформаційної
безпеки. Це дозволяє СМІБ ефективно захищати конфіденційність,
цілісність та доступність своєї інформації.
● Ідентифікація ризиків інформаційної безпеки: ISO 27001
допомагає СМІБ ідентифікувати потенційні загрози та ризики,
які можуть вплинути на конфіденційність, цілісність та
доступність їхньої інформації. Це може включати такі загрози,
як кібератаки, несанкціонований доступ до даних, природні
лиха та інші потенційні загрози.
● Аналіз ризиків і прийняття рішень: ISO 27001 вимагає
проведення аналізу ризиків для визначення ймовірності та
впливу потенційних загроз, а також прийняття рішень щодо
того, які заходи безпеки слід впровадити для зменшення цих
ризиків до прийнятного рівня.
● Управління ризиками інформаційної безпеки: ISO 27001
встановлює процеси та практики для ефективного управління
ризиками інформаційної безпеки в організації. Це включає в
себе розробку та впровадження політик безпеки, процедур,
контролів та механізмів моніторингу для захисту інформації
від потенційних загроз.
● Захист конфіденційності, цілісності та доступності
інформації: Шляхом впровадження стандарту ISO 27001,
СМІБ мають можливість забезпечити захист конфіденційності,
цілісності та доступності своєї інформації. Це допомагає
запобігати несанкціонованому доступу до даних, маніпуляції
або зміні інформації та забезпечує надійність та доступність
даних для уповноважених користувачів.
● Відповідність законодавству та регуляторним вимогам:
Впровадження стандарту ISO 27001 допомагає організаціям
відповідати законодавству та регуляторним вимогам в сфері
 інформаційної безпеки, що є особливо важливим у контексті
збереження даних клієнтів, особистої інформації та інших
конфіденційних даних.

2. Відповідність законодавству: Впровадження СМІБ на основі ISO

27001 допомагає підприємствам відповідати вимогам законодавства
з питань інформаційної безпеки. Це особливо важливо у зв'язку зі
зростанням вимог до захисту особистих даних та інших
конфіденційних інформаційних ресурсів.
● Захист особистих даних: Впровадження СМІБ на основі ISO
27001 дозволяє підприємствам розробляти та впроваджувати
політики та процедури збереження та обробки особистих
даних відповідно до вимог законодавства, таких як Загальний
регламент про захист персональних даних (GDPR) в
Європейському Союзі або відповідних законів про захист
даних в інших країнах.
● Забезпечення конфіденційності інформації: ISO 27001
вимагає встановлення відповідних заходів безпеки для захисту
конфіденційної інформації від несанкціонованого доступу або
розголошення. Це включає в себе розробку та впровадження
контролів доступу, шифрування даних, аудиту безпеки та
інших заходів безпеки, що допомагають відповідати вимогам
законодавства щодо конфіденційності інформації.
● Забезпечення цілісності даних: Впровадження системи
управління інформаційною безпекою допомагає
підприємствам забезпечити цілісність своїх даних та запобігти
їхній незаконній зміні чи втраті. Шляхом визначення та
впровадження відповідних контролів доступу, резервування
даних та інших заходів безпеки, підприємства можуть
відповідати вимогам законодавства щодо цілісності даних.
● Відповідність стандартам безпеки: ISO 27001 є
міжнародним стандартом інформаційної безпеки, який
допомагає підприємствам відповідати вимогам законодавства,
що стосуються безпеки інформації. Шляхом впровадження
цього стандарту, підприємства можуть демонструвати свою
здатність до відповідності вимогам законодавства та
встановленим стандартам безпеки.
3. Довіра клієнтів і партнерів: Впровадження стандарту ISO 27001
свідчить про високий рівень зобов'язаності до забезпечення
інформаційної безпеки. Це може сприяти підвищенню довіри як з
боку клієнтів, так і з боку партнерів.
● Професійний підхід до безпеки: Впровадження стандарту ISO
27001 свідчить про те, що організація має чіткий план дій
щодо захисту інформації та виконання визначених стандартів
безпеки. Це демонструє професіоналізм і відповідальність
організації щодо безпеки даних.
● Дотримання регуляторних вимог: ISO 27001 вимагає від
організацій дотримання регуляторних вимог щодо захисту
інформації, таких як GDPR, HIPAA, PCI DSS тощо. Це
означає, що організація готова відповідати вимогам
законодавства та нормативних актів щодо захисту даних.
● Збільшення впевненості клієнтів і партнерів: Клієнти і
партнери переважно шукають співпрацю з організаціями, які
мають високий рівень безпеки даних. Впровадження ISO
27001 допомагає збільшити впевненість клієнтів і партнерів у
тому, що їхні дані будуть належним чином захищені від
загроз.
● Підвищення репутації: Організація, яка впроваджує стандарт
ISO 27001, відома своєю здатністю до захисту конфіденційної
інформації. Це може позитивно вплинути на її репутацію в
очах клієнтів, партнерів та інших зацікавлених сторін.
● Стимулювання бізнесу: Захист інформації відповідно до
стандарту ISO 27001 може сприяти розвитку бізнесу, оскільки
це робить організацію більш привабливою для співпраці,
відкриваючи нові можливості та ринки.

4. Зниження ризиків: Застосування принципів управління ризиками

інформаційної безпеки дозволяє ефективно ідентифікувати,
оцінювати та знижувати ризики в обробці інформації. Це допомагає
уникнути потенційних загроз і зменшує ймовірність інцидентів.
● Ідентифікація ризиків: Процес управління ризиками
розпочинається з ідентифікації потенційних загроз і слабких
місць у системі обробки інформації. Це може включати
виявлення потенційних загроз безпеці, вразливостей
 програмного забезпечення, можливих атак або витоків
інформації.
● Оцінка ризиків: Після ідентифікації ризиків проводиться їхня
оцінка для визначення потенційних наслідків та ймовірності
виникнення. Це допомагає визначити та пріоритизувати
ризики в обробці інформації за їхньою серйозністю.
● Зниження ризиків: Після оцінки ризиків розробляються та
впроваджуються стратегії зниження ризиків. Це може
включати в себе встановлення технічних та організаційних
заходів безпеки, підвищення освіти та навичок персоналу, а
також укладення угод з постачальниками та партнерами.
● Уникнення потенційних загроз: Шляхом ефективного
управління ризиками організації можуть уникнути
потенційних загроз, які можуть призвести до витрат часу,
грошей та репутаційних втрат.
● Зменшення ймовірності інцидентів: Послідовне
впровадження стратегій зниження ризиків допомагає
зменшити ймовірність виникнення інцидентів безпеки, таких
як порушення даних, кібератаки або витоки інформації.

5. Покращення управління процесами: Стандарт ISO 27001

пропонує принципи управлінської системи, що дозволяє покращити
організаційні процеси. Це включає в себе управління
документацією, навчання персоналу, управління доступом та інші
аспекти інформаційної безпеки.
● Управління документацією: ISO 27001 вимагає встановлення
та підтримання документованої системи управління
інформаційною безпекою (СУІБ), що включає в себе політики,
процедури, інструкції та іншу документацію. Це допомагає
стандартизувати процеси та забезпечує консистентність у
виконанні завдань з інформаційної безпеки.
● Навчання персоналу: ISO 27001 визначає необхідність
навчання персоналу з питань інформаційної безпеки. Це
включає в себе проведення навчань та інструктажів щодо
правил обробки інформації, заходів безпеки та процедур
реагування на інциденти.
 ● Управління доступом: Стандарт рекомендує встановлювати
механізми контролю доступу до інформації, що дозволяє
обмежувати доступ до конфіденційної інформації лише
авторизованим користувачам. Це включає в себе розробку
політик доступу, управління привілеями та моніторинг дій
користувачів.
● Впровадження процесів управління ризиками: ISO 27001
вимагає встановлення процесів управління ризиками
інформаційної безпеки, включаючи ідентифікацію, оцінку,
обробку та моніторинг ризиків. Це допомагає організації
ефективно управляти ризиками та приймати обгрунтовані
рішення з покращення безпеки.
● Визначення метрик і вимог до звітності: ISO 27001
встановлює вимоги до моніторингу та відстеження
ефективності системи управління інформаційною безпекою.
Це включає в себе визначення ключових показників
ефективності, вимог до звітності та аналіз результатів для
подальшого вдосконалення процесів.

6. Сприяння бізнес-розвитку: Впровадженням системи управління

інформаційною безпекою за стандартом ISO 27001 підприємство
може підтверджувати свою здатність працювати в умовах безпеки,
що сприяє довірі клієнтів та партнерів і може відкривати нові
можливості для розвитку бізнесу.
● Підтвердження дотримання стандартів безпеки:
Впровадження стандарту ISO 27001 дозволяє підприємству
підтвердити свою здатність працювати в умовах безпеки, що
важливо для залучення клієнтів та партнерів, особливо тих, які
ставлять великий акцент на захист інформації.
● Збільшення довіри клієнтів і партнерів: Існуючі та
потенційні клієнти та партнери мають довіру до підприємств,
які активно працюють над захистом їхніх даних та інформації.
Впровадження системи управління ІБ згідно зі стандартом ISO
27001 дозволяє підприємству продемонструвати свою
здатність забезпечувати конфіденційність, цілісність та
доступність інформації, що підвищує рівень довіри в їхню
роботу.
 ● Відкриття нових можливостей для розвитку бізнесу:
Підтвердження відповідності стандарту ISO 27001 може стати
конкурентною перевагою підприємства на ринку. Це може
відкривати нові можливості для залучення клієнтів та
партнерів, а також розширення бізнесу шляхом участі у нових
проектах або ринках, де високий рівень безпеки даних є
критичним фактором.

7. Створення культури безпеки: Впровадження системи управління

інформаційною безпекою допомагає сформувати культуру безпеки в
організації, де персонал розуміє важливість захисту інформації та
бере активну участь у впровадженні заходів інформаційної безпеки.
● Свідомість персоналу: Процес впровадження стандарту ISO
27001 передбачає навчання персоналу з питань інформаційної
безпеки. Це включає в себе навчання щодо ризиків
інформаційної безпеки, правил обробки конфіденційної
інформації та процедур дій у випадку інцидентів. Через це
персонал краще розуміє важливість захисту інформації та
свою роль у забезпеченні безпеки.
● Участь персоналу: Успішне впровадження системи
управління ІБ передбачає активну участь персоналу. Це
означає, що всі члени команди повинні брати активну участь у
впровадженні заходів інформаційної безпеки, дотримуватися
встановлених процедур та співпрацювати для забезпечення
безпеки даних.
● Підвищення відповідальності: Впровадження системи
управління ІБ може сприяти підвищенню відповідальності
персоналу щодо захисту інформації. Кожен працівник стає
більш усвідомленим щодо своєї ролі у забезпеченні безпеки
даних та ризиків, пов'язаних з їх обробкою.
● Внутрішній контроль та взаємоперевірка: Впровадження
системи управління ІБ передбачає встановлення механізмів
внутрішнього контролю та взаємоперевірки. Це означає, що
персонал залучається до постійного моніторингу та оцінки
ефективності заходів інформаційної безпеки, що сприяє
створенню культури безпеки в організації.
Висновок
Впровадження стандарту ISO 27001 для СМІБ не тільки допомагає
забезпечити безпеку інформації, але і сприяє підвищенню
конкурентоспроможності та стійкості бізнесу в умовах сучасного
інформаційного середовища.