Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Titulny_dlya_kursovoy.docx
Скачиваний:
1
Добавлен:
01.04.2025
Размер:
1.21 Mб
Скачать
►Содержание►

Вимоги до програмного продукту для оцінки ризиків:

  • повинен охоплювати всі компоненти ризику та взаємозв'язок між компонентами;

  • повинен включати модулі для збору даних, аналізу і виводу результатів;

  • повинен відображати політику і підхід організації до оцінки ризиків;

  • повинен формувати зрозумілі і точні звіти;

  • повинен зберігати історію збору та аналізу даних;

  • повинен містити повну і зрозумілу документацію;

  • повинен бути сумісним з програмним і апаратним забезпеченням, використовуваним в організації;

  • повинен супроводжуватися навчанням і підтримкою.

Метод, використовуваний при роботі обраного продукту, і його функції повинні відображати політику і загальний підхід організації до оцінки ризиків.Ефективне формування звітів про результати оцінки ризиків є суттєвою частиною процесу, якщо керівництву потрібно зважувати альтернативи і здійснювати ефективний вибір застосовних, надійних і економічно виправданих механізмів контролю. Тому даний продукт повинен формувати зрозумілі і точні звіти.Здатність зберігати історію збору та аналізу даних є корисною при проведенні подальших оцінок і спостереження над тим, як змінюється ситуація з ризиками.

Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации.. Не последнюю роль играет доступность обучения и поддержки.

Обраний продукт повинен бути сумісний з апаратним і програмним забезпеченням, використовуваним в організації.

Callio Secura 17799

Компанія Callio технологій була заснована в 2001 році двома канадськими академіками і спеціалізується в галузі розробки програмних продуктів для аналізу інформаційних ризиків та управління інформаційною безпекою відповідно до вимог стандартів BS 7799 і ISO 17799.

Callio Secura 17799 являє собою комплексну систему для розробки, впровадження, експлуатації та сертифікації Системи управління інформаційною безпекою (СУІБ) на основі стандарту BS 7799.

Callio Secura 17799 надає наступні основні можливості:

  • оцінку відповідності стандарту ISO 17799;

  • інвентаризацію активів;

  • опис структури та процесів СУІБ;

  • оцінку і обробку ризиків;

  • розробку планів впровадження механізмів контролю;

  • шаблони політик безпеки (понад 50 прикладів);

  • управління документами;

  • управління опитувальними листами;

  • оцінку готовності до сертифікації СУІБ за вимогами міжнародного стандарту ISO 27001.

Процес управління ризиками по Callio складається з двох етапів.

На першому етапе проізводітся ідентифікація активів, загроз, вразливостей і вимог безпеки, оцінюється величина вразливостей, ймовірність загроз і цінність активів. На підставі цих даних обчислюються значення ризиків.

На другому етапе прінімается рішення щодо способів обробки ризиків, прийнятного рівня залишкових ризиків, розробляється план обробки ризиків, проводиться впровадження механізмів контролю та розробка політик безпеки та інших організаційно-розпорядчих документів.

Callio Secura 17799 предоставляет веб-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ - рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система реализует рабочий процесс (Workflow), который используется при внедрении СУИБ и подготовке к сертификации

Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (анализ пробелов).

На наступному етапі проводиться оцінка ризиків. Процес оцінки ризиків починається з інвентаризації активів. Він включає в себе ідентифікацію та категоріювання ресурсів, складання переліку відомостей обмеженого поширення і реєстру інформаційних активів.

Далі для кожного активу оцінюється його цінність для організації, яка визначається збитком у результаті порушення її конфіденційності, цілісності, доступності або невиконання вимог при здійсненні погроз безпеки.

Ідентифікація ризиків передбачає установку взаємозв'язків між активами, вразливостями і загрозами безпеці. Ця задача була б дуже непростий, тому для звичайної організації таких взаємозв'язків налічується кілька тисяч. Використовуваний інструментарій полегшує нам це завдання, пропонуючи установки за замовчуванням.

Далі для обчислення ризиків визначаються ймовірності реалізації загроз. Для кожної загрози вказується вид збитку.

Базуючись на інформації про цінності активів та ймовірності загроз, система автоматично обчислює значення ризиків і виробляє їх упорядкування за пріоритетами.

Коли оцінка ризиків завершена, можна переходити до вибору і впровадження механізмів контролю, необхідних для мінімізації ризиків. CallioSecuraна підставі результатів оцінки ризиків автоматично формує набір рекомендованих механізмів контролю з числа описаних у стандарті. Для кожного механізму контролю проставляється його поточний статус.

По завершенні цього етапу формується план створення СУІБ. Після цього можна переходити до розробки та впровадження політик безпеки.

Для розробка політик безпеки використовуються шаблони типових документів. Базуючись на результатах аналізу ризиків, система автоматично формує набір необхідних шаблонів. Готові політики експортуються в модуль управління документами, який дозволяє проводити їх ревізію, узгодження та публікацію на веб-порталі.

Всього є понад 100 різних документів, які використовуються при реалізації механізмів контролю СУІБ. Якщо запропонованих системою шаблонів недостатньо, ми можемо вибрати додаткові документи і експортувати їх в модуль управління документами.

Після того як створення СУІБ завершено - люди навчені, політики розроблені і впроваджені, а функціонування механізмів контролю підтверджується документованими свідченнями, - проводиться діагностика СУІБ з метою визначення ступеня її готовності до сертифікації. Для цього використовуються спеціальний опитувальник і супровідні інструкції, надані системою.

Декларація про застосовність є останнім розроблюються документом і обов'язковою умовою для сертифікації. У ньому для кожного механізму контролю, описаного в стандарті, вказується його застосовність, поточний статус, ступінь реалізації і обгрунтування його використання. Це перший документ, який вивчається аудиторами під час сертифікації.

У складі системи є спеціальний модуль управління документами, який дозволяє зберігати всі документи, що мають відношення до функціонування СУІБ в центральній базі даних, публікувати та керувати доступом до цих документів для різних робочих груп через веб-інтерфейс. За допомогою цього інструменту виконуються такі необхідні завдання, як узгодження та затвердження документів, а також контроль версій.

Callio Secura 17799 слугує прикладом системи, яка об'єднує функції управління ризиками з функціями підтримки інших процесів життєвого циклу СУІБ, таких як управління документами, контроль відповідності вимогам стандарту ISO 17799 та передсертифікаційний аудит СУІБ.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности