- •Оглавление
- •Введение в дисциплину
- •Стандартизация Основные понятия. Виды стандартов
- •Документы по стандартизации
- •Цели и принципы стандартизации
- •Функции и задачи стандартизации
- •Методы стандартизации
- •Органы и службы стандартизации
- •Международные и региональные организации по стандартизации
- •Техническое регулирование
- •Модели технического регулирования
- •Технические регламенты: понятие, цели, виды
- •Порядок разработки технических регламентов
- •Государственный контроль и надзор за соблюдением требований технических регламентов
- •Стандартизация в области информационных технологий. Нормативное обеспечение информационно – интегрированных систем Роль стандартизации в развитии информационного общества
- •Маркетинговые исследования
- •Проектирование
- •Подготовка производства
- •Производство
- •Эксплуатация, обслуживание, утилизация
- •Cтандарты cals-технологий
- •Нормативная база электронного документооборота
- •Структура и содержание документации на сложные программные средства информационных систем. Стандарты step Содержание step.
- •Структура step.
- •Программная поддержка step.
- •Стандартизация организационных основ информационной безопасности
- •Нормативно-правовое обеспечение информационной безопасности
- •Стандартизация в области управления информационной безопасности
- •Разработчики международных стандартов
- •«Информационная технология. Практические правила управления информационной безопасностью»
- •Термины и определения
- •Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта iso/iec 27001
- •Сертификация по исо 27001
- •Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
- •Стандарты серии исо 9000
- •Методология разработки и внедрения системы менеджмента качества по стандартам исо 9000
- •Основы сертификации Основные понятия в области сертификации, цели и объекты сертификации
- •Виды сертификатов и системы сертификации.
- •Основные операции сертификации
- •Схемы сертификации
- •Порядок проведения сертификации продукции и системы качества.
- •Организация работ по сертификации систем качества
- •Предварительная оценка системы качества
- •2. Проверка и оценка системы качества в организации
- •Правила применения сертификата и знака соответствия системы качества
- •Инспекционный контроль за сертифицированной системой качества
- •Правовое обеспечение сертификации.
Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта iso/iec 27001
Первый этап. Управленческий
Осознать цели и выгоды внедрения СМИБ
Получить поддержку руководства на внедрение и ввод в эксплуатацию системы менеджмента информационной безопасности (СМИБ)
Распределить ответственность по СМИБ
Второй этап. Организационный
Создать группу по внедрению и поддержке СМИБ
Обучить группу по внедрению и поддержке СМИБ
Определить область действия СМИБ
Третий этап. Первоначальный анализ СМИБ
Провести анализ существующей СМИБ
Определить перечень работ по доработке существующей СМИБ
Четвертый этап. Определение политики и целей СМИБ
Определить политику СМИБ
Определить цели СМИБ по каждому процессу СМИБ
Пятый этап. Сравнение текущей ситуации со стандартом
Провести обучение ответственных за СМИБ требованиям стандарта
Проработать требования стандарта
Сравнить требования стандарта с существующим положением дел
Шестой этап. Планирование внедрения СМИБ
Определить перечень мероприятий для достижения требований стандарта
Разработать руководство по информационной безопасности
Седьмой этап. Внедрение системы управления рисками
Разработать процедуру по идентификации рисков
Идентифицировать и ранжировать активы
Восьмой этап. Разработка документации СМИБ
Определить перечень документов (процедур, записей, инструкций) для разработки
Разработка процедур и других документов
управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)
технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)
записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)
записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)
инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)
Разработка и введение в действие документов СМИБ
Девятый этап. Обучение персонала
Обучение руководителей подразделений требованиям ИБ
Обучение всего персонала требованиям ИБ
Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ
Внедрение средств защиты
административных
учебных
технических
Одиннадцатый этап. Внутренний аудит СМИБ
Подбор команды внутреннего аудита СМИБ
Планирование внутреннего аудита СМИБ
Проведение внутреннего аудита СМИБ
Двенадцатый этап. Анализ СМИБ со стороны высшего руководства
Проведение анализа СМИБ со стороны высшего руководства
Тринадцатый этап. Официальный запуск СМИБ
Приказ о введении в действие СМИБ
Четырнадцатый этап.
Оповещение заинтересованных сторон/Информирование клиентов, партнеров, СМИ о запуске СМИБ