- •3. Государственные секреты
- •4. Служебная тайна
- •5. Коммерческая тайна: понятие, характеристика.
- •6. Интеллектуальная собственность
- •8.Патентное право
- •11. Выбор механизма охраны объекта интеллектуальной собственности.
- •16. Каналы утечки и носители информации.
- •Уровни защиты, в соответствии с механизмами реагирования на угрозы:
- •19. Защита информации: понятие, виды, объекты.
- •Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации.
- •20. Принципы защиты информации.
- •21. Модель безопасности: компоненты и взаимосвязи.
- •25. Ответственность за разглашение коммерческой тайны
- •28 Организация перехода к режиму кт
- •29 Организационные методы защиты конфиденциальной информации
- •31. Организационная структура службы безопасности. Группа режима
- •32. Защищенный документооборот
- •33. Технологические системы защиты и обработки конфиденциальных документов
- •37. Организация исполнения конфиденциальных документов
- •38. Копирование конфиденциальных документов
- •39. Назначение и порядок проведения проверки наличия документов, дел и носителей информации
- •41 Условия работы с конфиденциальными документами
- •43 Определение круга лиц, имеющих доступ к коммерческой тайне
- •44 Оценка опасности разглашения конфиденциальной информации работниками организации
- •45 Профилактика правонарушений в области коммерческой тайны
- •47. Информационная система: понятие, объекты, направления защиты.
- •48. Модель системы менеджмента информационной безопасности.
- •49. Политика информационной безопасности.
- •50. Система менеджмента информационной безопасности (смиб):
- •51. Система менеджмента информационной безопасности (смиб): требования к внедрению и обеспечению функционированию.
- •53.Классификация технических каналов утечки информации
- •60. Рекомендации по проведению телефонных разговоров
- •61.Взаимодействие предприятий с государственными органами
- •62 Работа со сми с учетом защиты кт
50. Система менеджмента информационной безопасности (смиб):
требования к разработке.
СТБ ISO/IEC 27001-2011.Организация должна разработать, внедрить, обеспечить функционирование, осуществлять мониторинг, анализировать, поддерживать и постоянно улучшать документально оформленную СМИБ в контексте бизнес-деятельности организации и рисков, с которыми она сталкивается.
Организация должна:
a) определить область применения и границы распространения СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, включая подробные сведения и обоснование любых исключений из области применения (см. 1.2);
b) определить политику СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, которая:
1) включает инфраструктуру для постановки целей и устанавливает основные направления и принципы деятельности в области информационной безопасности;
2) принимает во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности;
3) согласуется со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ;
4) разрабатывает критерии для оценивания рисков [см. 4.2.1, перечисление c)];
5) одобрена руководством.
Примечание – В настоящем стандарте политика СМИБ рассматривается как документ более высокого уровня по отношению к политикам информационной безопасности. Эти политики могут быть описаны в одном документе;
c) определить подход к оценке рисков в организации:
1) определять методологию оценки рисков в соответствии с требованиями СМИБ, в том числе требованиями информационной безопасности бизнеса, правовыми и другими обязательными требованиями;
2) разработать критерии принятия рисков и идентифицировать приемлемые уровни риска [см. 5.1, перечисление f)].
Выбранная методология оценки рисков должна обеспечивать сопоставимые и воспроизводимые результаты.
Примечание – Существуют различные методологии оценки рисков. Примеры таких методологий рассмотрены в ISO/IEC TR 13335-3 «Информационные технологии. Руководство по управлению безопасностью информационных технологий. Часть 3. Методы менеджмента безопасности IT»;
d) идентифицировать риски:
1) идентифицировать активы в пределах области применения СМИБ и владельцев данных активов.
Термин «владелец» определяет лицо или логический объект, на которые руководством возложена ответственность за управление созданием, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что данное лицо фактически имеет права собственности на этот актив;
2) идентифицировать угрозы для этих активов;
3) идентифицировать уязвимости, которые могут возникнуть при этих угрозах;
4) идентифицировать последствия для активов, к которым могут привести потеря конфиденциальности, целостности и доступности;
e) анализировать и оценивать риски:
1) провести оценку воздействий бизнеса на организацию, которые могут возникать в результате нарушений безопасности с учетом последствий потери конфиденциальности, целостности или доступности активов;
2) провести оценку реальной вероятности нарушения безопасности с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами, и используемых в настоящее время средств управления;
3) определить уровни рисков;
4) определить, являются ли риски приемлемыми или требуют ли обработки с использованием критериев приемлемости рисков, установленных в 4.2.1, перечисление c)2);
f) идентифицировать и оценивать возможные варианты обработки рисков.
Возможные действия включают:
1) применение соответствующих средств управления;
2) сознательное и объективное принятие рисков при условии, что они полностью удовлетворяют политикам организации и критериям принятия рисков [см. 4.2.1, перечисление c)2)];
3) избежание рисков;
4) передачу соответствующих бизнес-рисков другим сторонам, например страховым компаниям, поставщикам;
g) выбирать цели и средства управления для обработки рисков.
Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков [см. 4.2.1, перечисление c)2)], а также правовые, другие обязательные и контрактные требования.
Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.
Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления.
Примечание – В приложении A содержится полный перечень целей и средств управления, которые в большинстве случаев были определены как характерные для организаций. Пользователи настоящего стандарта должны обращаться к приложению A как к отправной точке для выбора средства управления и обеспечения того, что ни один из основных вариантов средств управления не был упущен;
h) получить одобрение руководства по предлагаемым остаточным рискам;
i) получить санкцию руководства на внедрение и обеспечение функционирования СМИБ;
j) разработать положение о применимости.
Положение о применимости должно включать:
1) цели и средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], и обоснование этого выбора;
2) реализуемые в настоящее время цели и внедряемые средства управления [см. 4.2.1, перечисление e)2)];
3) исключенные цели и средства управления, предусмотренные приложением A, и обоснование их исключения.