- •Содержание
- •Введение
- •Общие положения:
- •Получение одобрения руководства:
- •Определение области действия:
- •2) Разработка политики иб - при определении политики смиб следует принять во внимание следующие аспекты:
- •Проведение анализа требований к иб:
- •Проведение оценки риска и планирование обработки риска:
- •Разработка смиб:
- •Заключение:
Министерство образования и науки Российской Федерации
ФГБОУ ВПО «Сыктывкарский государственный университет»
Институт точных наук и информационных технологий
Кафедра информационной безопасности
Доклад по дисциплине
«Организационное обеспечение информационной безопасности»
ISO 27003
Научный руководитель: ______Д. Н. Едомский
ст. преподаватель «___»__________2013 г.
Исполнитель: _______И. М. Михалёв
студент группы 143 «___»__________2013 г.
Сыктывкар 2013
Содержание
Введение 3
Общие положения 4
Получение одобрения руководства 5
Определение области действия 8
Проведение анализа требований к ИБ 10
Проведение анализа рисков и планирование обработки рисков 12
Разработка СМИБ 13
Заключение 14
Введение
ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).
Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности.
Целью данного доклада является рассмотрение стандарта ISO 27003 "Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности".
Общие положения:
ISO 27003 - один из стандартов семейства 27000. В данном документе объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, которые также состоят из нескольких этапов, и каждая фаза представлена в отдельном пункте. Все пункты имеют одинаковую структуру. Эти пять фаз следующие:
a) Получение одобрения руководства для запуска проекта СМИБ;
b) Определения области действия и политики СМИБ;
c) Проведение анализа требований к ИБ;
d) Проведение анализа рисков и планирование обработки рисков;
e) Разработка СМИБ.
Получение одобрения руководства:
Цель фазы - получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.
Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Также следует составить начальный план проекта СМИБ.
Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ, и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.
Выходными данными в этой фазе должны стать предварительное одобрение руководства и поручение на внедрение СМИБ и выполнение действий, описываемых в данном международном стандарте. Выходные данные в данном пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.
Данная фаза состоит из 4 этапов.
1) Определение приоритетов организации для реализации СМИБ - цели внедрения СМИБ можно определить, ответив на следующие вопросы:
a) менеджмент риска – как может система СМИБ улучшить управление рисками для информационной безопасности?
b) результативность – как может система СМИБ улучшить управление информационной безопасностью?
c) преимущества для предприятия – как может СМИБ создать конкурентные преимущества для организации?
На выходе мы получаем:
- описание характеристик компании - местонахождение, активы, технологии;
- перечень требований по ИБ;
- документ, излагающий цели, приоритеты в области ИБ и требования к СМИБ.
2) Разработка предварительной области действия (ОД) - она должна быть определена, чтобы обеспечить для руководства рекомендации для принятия решений по внедрению системы, и поддержать дальнейшие действия.
Выходные данные на этом этапе должны представлять собой документ, определяющий предварительную область действия СМИБ, включая:
a) изложение обязательных требований к менеджменту информационной безопасности, определяемых руководством организации, и обязательств, накладываемых на организацию извне;
b) описание того, как части области действия системы взаимодействуют с другими системами управления;
c) перечень целей предприятия в области менеджмента информационной безопасности;
d) перечень важнейших бизнес-процессов, информационных активов, организационных структур и географических положений, к которым будет применяться система СМИБ;
e) соотношение существующих систем управления, регулирования, соответствия и целей организации;
f) характеристики предприятия, организация, местонахождение, активы и технологии.
Необходимо определить общие элементы и практические различия между существующими системами управления и предлагаемой системой СМИБ.
3) Определение ролей и сфер ответственности для предварительной ОД СМИБ - необходимо определить перечень ролей, руководствуясь следующими принципами:
- полная ответственность за задачи ИБ на руководстве;
- одно лицо назначается для содействия и координации процессов обеспечения ИБ;
- каждый работник несет равную ответственность за обеспечение ИБ.
4) Определение случая применения СМИБ и составление плана проекта для утверждения руководством - здесь необходимо определить этапы внедрения, временные шкалы, необходимые ресурсы, факторы успеха. На выходе получаем документальное одобрение руководством проекта СМИБ с распределением ресурсов, общий план проекта.