- •1 Моделирование бизнес – процессов
- •2 Информационная модель фирмы и агентские отношения.
- •3 Понятие теории информации
- •4. Защищаемая информация
- •5.Факторы. Воздействующие на информацию, объекты информаиии
- •6. Классы информационных ресурсов
- •11. Методы принятия решений в условиях неопределенности.
- •12. Структура системы организационного управления качеством.
- •13. Общая характеристика экспертных систем.
- •14. Структура и использование экспертных систем.
- •15.Классификацня инструментальных средств экспертных систем
- •16. Организация званий в экспертных системах.
- •17. Отличия эс от традиционных программ.
- •18. Виды экспертных систем
- •19. Типы задач в управлении качеством, решаемых экспертными системами
- •20. Методы формирования функции защиты.
- •21. Классы задач защиты информации.
- •22.Состояния и функции системы зашиты.
- •23.Стратегия защиты информации
- •24. Способы и средства зашиты информации.
- •25. Функциональные компоненты безопасности.
- •26. Класс fau. Аудит безопасности
- •27. Криптографическая поддержка.
- •28. Защита данных пользователя
- •29. Идентификация и аутентификация.
- •30. Системы управления информационной безопасностью.
- •31. Практические правила управления информационной безопасностью.
- •32. Руководство по внедрению системы управления информационной безопасностью.
- •33. Управление рисками информационной безопасности
31. Практические правила управления информационной безопасностью.
1 этап в управлении системой ИБ является оценка риска, он предназначен для идентификации источников риска и определен его уровнем значимости.
Оценку разбивают на анализ риска и оценку риска. В рамках анализа проводится инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договорные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой.
После того как риск оценен, должно быть принято решение относительно его обработки. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровождение механизмов безопасности, политика руководства, простота реализации, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:
1) Уменьшение риска. Риск считается неприемлемым, и для его уменьшения выбираются и реализуются соответствующие меры и средства безопасности.
Передача риска. Риск считается неприемлемым и на определённых условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации.
Принятие риска. Риск в конкретном случае считается осознанно допустимым — организация должна смириться с возможными последствиями. Обычно это означает, что стоимость контрмер значительно превосходит финансовые потери в случае реализации угрозы либо организация не может найти подходящие меры и средства безопасности.
Отказ от риска. Отказ от бизнес-процессов организации, являющихся причиной риска. Например, отказ от электронных платежей по Сети.
В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа отработки риска.
32. Руководство по внедрению системы управления информационной безопасностью.
Внедрение СУИБ производится на базе соответствующих стандартов (17799, 27001 и серии 27000).
Внедрение СУИБ длительный и трудоемкий процесс. В общем случае он включает в себя ряд последовательных этапов, которые выполняются организацией, как правило при помощи внешних консультантов:
Предварительный аудит СУИБ, в ходе которого оценивается текущее состояние осуществляющееся инвентаризацией и документирование всех основных составляющих СУИБ, определяется область и границы сертификации и выполняется целый ряд подготовительных действий.
Выполняется оценка информационных рисков (основная цель - определение применимости описанных в стандарте механизмов контроля в данной конкретной организации подготовка декларации о применимости и плана обработки рисков).
Анализ расхождений с требованиями стандарта в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицирующееся расхождение с декларацией о применимости.
На следующих этапах осуществляется планирование и внедрение недостающих механизмов контроля, по каждому из которых разрабатывающаяся стратегия и план внедрения. Эти работы по внедрению включают в себя три основные составляющие:
- подготовка сотрудников организации (обучения, тренинги);
- подготовка документации СУИБ;
- подготовка свидетельств функционирования СУИБ (отчеты, протоколы, приказы).